[sisyphus] alterator-ca - откуда брать csr

[sisyphus] alterator-ca - откуда брать csr

[Max Ivanov]

В CA нельзя создать сертификаты, только подписывать их. Уже существуют
какие нибудь GUI/web тулзы чтобы создавать csr файлы? или это только в
планах.

Re: [sisyphus] alterator-ca - откуда брать csr

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 562 bytes --]

On Sun, Jun 14, 2009 at 12:24:35AM +0400, Max Ivanov wrote:
> В CA нельзя создать сертификаты, только подписывать их.
Создание csr подразумевает наличие приватного ключа.  Управление
любыми приватными ключами (кроме приватного ключа самого a-ca)
выходит за рамки ответственности данного модуля.

> Уже существуют какие нибудь GUI/web тулзы чтобы создавать csr
> файлы? или это только в планах.
Как грязи.  Например tinyca2.

P.S. Этот модуль писался исключительно для Office server и не
рекомендуется к ручной установке.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Dmitriy Kruglikov]

13 июня 2009 г. 23:30 пользователь Alexey I. Froloff  написал:
>  Управление
> любыми приватными ключами (кроме приватного ключа самого a-ca)
> выходит за рамки ответственности данного модуля.
Та не, ибо нафиг оно тогда нужно ...
Сервер у меня "там", а все остальное "тут" ...
Все операции должны выполняться "там" без каких-либо дополнительных
приседаний с бубном.
Тем более, что все необходимые ключи из командной строки сгенерить можно...

Зачем рвать гланды рекурсивно четвертому человеку в очереди ?


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [sisyphus] alterator-ca - откуда брать csr

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 783 bytes --]

On Sun, Jun 14, 2009 at 09:27:21AM +0300, Dmitriy Kruglikov wrote:
> > Управление любыми приватными ключами (кроме приватного ключа
> > самого a-ca) выходит за рамки ответственности данного модуля.
> Та не, ибо нафиг оно тогда нужно ...
Если Вам это не нужно - этот модуль не для Вас.

> Сервер у меня "там", а все остальное "тут" ...
> Все операции должны выполняться "там" без каких-либо
> дополнительных приседаний с бубном.
Все операции, ради которых создавался этот модуль выполняются
"там" без каких-либо дополнительных приседаний с бубном.

> Тем более, что все необходимые ключи из командной строки сгенерить можно...
Вот и генерите.

> Зачем рвать гланды рекурсивно четвертому человеку в очереди ?
А зачем выступать не по делу?

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Dmitriy Kruglikov]

14 июня 2009 г. 14:26 пользователь Alexey I. Froloff написал:

> Все операции, ради которых создавался этот модуль выполняются
Либо уберите слово "все", напишите "некоторые",
либо список "ради которых" публикуйте вместе с модулем.
Там есть пымпочка "Справка" ...
Иначе "тут селедку заворачивали" ...

> Вот и генерите.
А вот это уже в духе "сам дурак"... Давай обойдемся без этого ...
Не пацаны ведь ...

> А зачем выступать не по делу?
А это после того, как у меня по совсем непонятной логике обновилось
куча модулей альтератора и вместо вполне работоспособных модулей
появился некий набор с "узко специализированным" засекреченным функционалом.

И это в тот момент, когда мне срочно нужно было именно сертификаты и LDAP ...
И это после того, как я лично сделал три подхода к управлению учетными
записями LDAP через альтератор.
И это в предвкушении того, что мне снова нужно будет перелопатить
кучу скриптов и восстановить то, что уже работало и уже перестало.


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [sisyphus] alterator-ca - откуда брать csr

[Aleksey Novodvorsky]

Дмитрий, это модуль для нового Office Server, его Preview будет в
начале недели. Многое поменядось и еще, увы, не все документировано.
Алексей, вопросы Дмитрия абсолютно правомерны, не надо так отвечать, пожалуйста.

Rgrds, Алексей

14 июня 2009 г. 15:45 пользователь Dmitriy Kruglikov
(dmitriy.kruglikov@gmail.com) написал:
> 14 июня 2009 г. 14:26 пользователь Alexey I. Froloff написал:
>
>> Все операции, ради которых создавался этот модуль выполняются
> Либо уберите слово "все", напишите "некоторые",
> либо список "ради которых" публикуйте вместе с модулем.
> Там есть пымпочка "Справка" ...
> Иначе "тут селедку заворачивали" ...
>
>> Вот и генерите.
> А вот это уже в духе "сам дурак"... Давай обойдемся без этого ...
> Не пацаны ведь ...
>
>> А зачем выступать не по делу?
> А это после того, как у меня по совсем непонятной логике обновилось
> куча модулей альтератора и вместо вполне работоспособных модулей
> появился некий набор с "узко специализированным" засекреченным функционалом.
>
> И это в тот момент, когда мне срочно нужно было именно сертификаты и LDAP ...
> И это после того, как я лично сделал три подхода к управлению учетными
> записями LDAP через альтератор.
> И это в предвкушении того, что мне снова нужно будет перелопатить
> кучу скриптов и восстановить то, что уже работало и уже перестало.
>
>
> --
> Как правильно задавать вопросы:
> http://maddog.sitengine.ru/smart-question-ru.html
>
> Помогает:
> http://search.altlinux.org
>
> Best regards,
>  Dmitriy Kruglikov
>  Dmitriy.Kruglikov_at_gmail_dot_com
>  XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus

Re: [sisyphus] alterator-ca - откуда брать csr

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 1107 bytes --]

On Sun, Jun 14, 2009 at 02:45:31PM +0300, Dmitriy Kruglikov wrote:
> > Все операции, ради которых создавался этот модуль выполняются
> Либо уберите слово "все", напишите "некоторые",
> либо список "ради которых" публикуйте вместе с модулем.
> Там есть пымпочка "Справка" ...
> Иначе "тут селедку заворачивали" ...
Умерьте пыл.  Вы не модератор, чтобы указывать мне.

> > А зачем выступать не по делу?
> А это после того, как у меня по совсем непонятной логике обновилось
> куча модулей альтератора и вместо вполне работоспособных модулей
> появился некий набор с "узко специализированным" засекреченным функционалом.
Вы говорите неправду:

$ apt-cache showpkg alterator-ca
Package: alterator-ca
...
Reverse Depends: 
  alterator-distro-office-server,alterator-ca

Вы устанавливали Office Server?

$ apt-cache show alterator-ca 
Package: alterator-ca
...
Description: Office Server CA Manager
 Certification Authority Manager for Office Server.

У Вас Office Server?  Если нет, то зачем Вы поставили этот пакет?

На этом разговор с Вами прекращаю.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Dmitriy Kruglikov]

14 июня 2009 г. 14:50 пользователь Aleksey Novodvorsky  написал:
> Дмитрий, это модуль для нового Office Server, его Preview будет в
> начале недели.
Таки практика показывает, что нужно как-то ответвление делать для
таких целей ...
Потому как попадание новых модулей в кучу к старым взрывоопасно ...
И выкладывать их нужно пачкой (слоем, уровнем) ...
Назовите как угодно, но смысл - не атомарно, а молекулярно ...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [sisyphus] alterator-ca - откуда брать csr

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 563 bytes --]

On Sun, Jun 14, 2009 at 03:50:25PM +0400, Aleksey Novodvorsky wrote:
> Алексей, вопросы Дмитрия абсолютно правомерны,
Человек влез в разговор и начал рассказывать как всё должно
работать (используя слова "удалять гланды автогеном").  Я на
такие выпады реагирую неадекватно.

> не надо так отвечать, пожалуйста.
Да, виноват.  Приношу Дмитрию свои извинения.

Вместо того чтобы отвечать гадость, надо _сразу_ вносить этого
человека в .mutt/score, а не ждать, что может быть ситуация
изменится.  Впредь так и буду поступать.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Dmitriy Kruglikov]

14 июня 2009 г. 15:00 пользователь Alexey I. Froloff ) написал:

> Умерьте пыл.  Вы не модератор, чтобы указывать мне.
А я и не указываю... Я рекомендую...
Раз модератору теперь у нас вне критики...

> Вы говорите неправду:
Да... Еще часто утрирую и преувеличиваю...

>
> Вы устанавливали Office Server?
Да ... У меня их 3 штуки крутится. В офисах и на площадке у хостера...

> У Вас Office Server?  Если нет, то зачем Вы поставили этот пакет?
Сдуру, как показала практика ...
А точнее, строил хитрую сеть средствами OpenVPN ...
С динамической маршрутизацией и OSPF внутри туннелей ...
И давно уже хотелось мне хорошую инфраструктуру управления ключами ...

> На этом разговор с Вами прекращаю.
Съязвить что ли ?
Спросить, не интересно ли Вам поговорить с умным человеком ?
Нет, наверное не буду Вас злить...
;)


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [sisyphus] alterator-ca - откуда брать csr

[Max Ivanov]

> Создание csr подразумевает наличие приватного ключа.  Управление
> любыми приватными ключами (кроме приватного ключа самого a-ca)
> выходит за рамки ответственности данного модуля.

К чему останавливаться на пол пути? Уверен, что не только я ожидают от
модуля CA выпуска сертификатов,это было бы очень полезно.

Re: [sisyphus] alterator-ca - откуда брать csr

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 731 bytes --]


Twas brillig at 21:28:15 14.06.2009 UTC+04 when ivanov.maxim@gmail.com did gyre and gimble:

 >> Создание csr подразумевает наличие приватного ключа.  Управление
 >> любыми приватными ключами (кроме приватного ключа самого a-ca)
 >> выходит за рамки ответственности данного модуля.

 MI> К чему останавливаться на пол пути? Уверен, что не только я ожидают
 MI> от модуля CA выпуска сертификатов,это было бы очень полезно.

Патчи, как обычно, welcome.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

14 июня 2009 Max Ivanov написал:
> В CA нельзя создать сертификаты, только подписывать их. Уже существуют
> какие нибудь GUI/web тулзы чтобы создавать csr файлы? или это только в
> планах.
См. модули:
OpenVPN-сервер
OpenVPN-соединения

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

14 июня 2009 Max Ivanov написал:
> > Создание csr подразумевает наличие приватного ключа.  Управление
> > любыми приватными ключами (кроме приватного ключа самого a-ca)
> > выходит за рамки ответственности данного модуля.
>
> К чему останавливаться на пол пути? Уверен, что не только я ожидают от
> модуля CA выпуска сертификатов,это было бы очень полезно.
Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен по 
соображениям безопасности.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] alterator-ca - откуда брать csr

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1185 bytes --]

Dmitriy Kruglikov
<dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:

> 16 июня 2009 г. 16:08 пользователь Андрей Черепанов  написал:
>
>     Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен по
>     соображениям безопасности.
>
>  
> А можно их озвучить (соображения) в письменном виде ?
>
> А то как-то непонятно ...
А что непонятного-то? Если их генерить там, то на сервере будут все
ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.

А в нормальной ситуации ключ генерится в месте использования, и никогда
оттуда не вытаскивается. Те же смарт-карты например умеют генерировать
ключи внутри себя, и ключи эти неэкспортируемы в принципе со
смарт-карты.

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 4319 bytes --]

Dmitriy Kruglikov
<dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:

>     > А то как-то непонятно ...
>
>     А что непонятного-то? Если их генерить там, то на сервере будут все
>     ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте.
>
> Они и так будут в этом _одном_ месте ...
С какого это перепугу???

> Только один из ключей нужно будет сгенерить на стороне и потом
> положить в это _одно_ место...
> На мой взгляд, это менее секьюрно ...
>
>     А в нормальной ситуации ключ генерится в месте использования, и никогда
>     оттуда не вытаскивается.
>
> Что я и предлагаю ...
> Сгенерить на месте использования и не вытаскивать ...
У вас все ключи используются на машине с CA?

>     Те же смарт-карты например умеют генерировать
>     ключи внутри себя, и ключи эти неэкспортируемы в принципе со
>     смарт-карты.
>
>
> Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную
> минуту,
> синхронно с сервером ... Прошла минута - новый ключ ...
> Прошло два года - новый генератор ...
> Но разве мы об этом говорим ?
Нет, вы похоже говорите о сессионных ключах... или об one-time token, а
это немножко другое.

> В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал
> модуля, управляющего центром сертификации.
Вы вообще расшифровку акронима CA знаете? На машине с CA должен быть
ровно 1 ключ - ключ CA. Всё, точка.

> Агрументы о секьюрности чего-то,
> рядом с хранением паролей в открытом виде (конфиг slapd),
> выглядят не очень убедительно.
Это как бы немного разные уровни - пароль к базе с шифрованными паролями
пользователей и набор всех ключей шифрования.

> А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем
> убедителен, как минимум, для меня.
>
> Более того, использование формализованного интерфейса позволяет сисадмину даже
> не подозревать о месторасположении этих ключей ...
Оооо...так вы хотите, чтобы админ ещё и не понимая как работает
безопасность, настраивал её?! Ну извините, бывает...

Вы сами-то понимаете разницу между ключом и сертификатом?

> P.S.
> Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и
> бывшего).
И что? А меня были среди знакомых и действующие... хотя я бы тоже не
стал - зачем ему зря голову забивать...

> Среди нас тут еще поискать такого же параноика в области безопасности :)
Ой, да параноиков я могу хоть миллион найти, а вот людей хотя бы 

PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] [JT] alterator-ca - откуда брать csr

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 300 bytes --]

On Wed, Jun 17, 2009 at 12:55:52PM +0400, Ivan Fedorov wrote:
> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
Кстати о криптографии.  У Шнайера описан замечательный протокол
сравнения двух чисел с нулевым разглашением.  Как раз для этого
случая.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] [JT] alterator-ca - откуда брать csr

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 551 bytes --]


Twas brillig at 13:23:17 17.06.2009 UTC+04 when raorn@altlinux.org did gyre and gimble:

 >> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
 AIF> Кстати о криптографии.  У Шнайера описан замечательный протокол
 AIF> сравнения двух чисел с нулевым разглашением.  Как раз для этого
 AIF> случая.

Для этого случая он не подходит,

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --]

Re: [sisyphus] [JT] alterator-ca - откуда брать csr

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 859 bytes --]

"Alexey I. Froloff" <raorn-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org>
writes:

> On Wed, Jun 17, 2009 at 12:55:52PM +0400, Ivan Fedorov wrote:
>> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
> Кстати о криптографии.  У Шнайера описан замечательный протокол
> сравнения двух чисел с нулевым разглашением.  Как раз для этого
> случая.
Ты знаешь, я уже всё что надо разгласил - сомневаюсь, что кто-то сможет
меня переплюнуть...

Ну разве, что красивая девушка - им и с нулём пиписек, есть чем
похвастать перед нами обычно! :)

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Dmitriy Kruglikov]

17 июня 2009 г. 11:55 пользователь Ivan Fedorov  написал:
>
> С какого это перепугу???

Пару цитат:

1)
Центр Сертификации (Certification Authority, CA) является пакетом
программного обеспечения, принимающим и обрабатывающим запросы на
выдачу сертификатов, издающим сертификаты и управляющим выданными
сертификатами.

2)
Итого у центра сертификации имеется:
- закрытый ключ
- корневой сертификат (хранящий в себе открытый ключ);
- список отозванных (скомпрометированных) сертификатов

3)
Создание корневого сертификата включает:
- Генерацию закрытого ключа.
- Генерацию открытого ключа и его подпись с помощью закрытого.

> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше?
Эх, молодежь ...
Не количеством, а качеством...
Толку, если оно стекляное ...
Хоть вокругу талии, как папуас, вывешивай ...

P.P.S.
И давай больше в таком духе не будем продолжать, да?

--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
Dmitriy Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [sisyphus] alterator-ca - откуда брать csr

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1606 bytes --]

Dmitriy Kruglikov
<dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:

> 17 июня 2009 г. 11:55 пользователь Ivan Fedorov  написал:
>>
>> С какого это перепугу???
>
> Пару цитат:
>
> 1)
> Центр Сертификации (Certification Authority, CA) является пакетом
> программного обеспечения, принимающим и обрабатывающим запросы на
> выдачу сертификатов, издающим сертификаты и управляющим выданными
> сертификатами.
>
> 2)
> Итого у центра сертификации имеется:
> - закрытый ключ
> - корневой сертификат (хранящий в себе открытый ключ);
> - список отозванных (скомпрометированных) сертификатов
>
> 3)
> Создание корневого сертификата включает:
> - Генерацию закрытого ключа.
> - Генерацию открытого ключа и его подпись с помощью закрытого.

И где тут хоть слово написано о закрытых ключах пользователей/служб?


> P.P.S.
> И давай больше в таком духе не будем продолжать, да?
Ну так не я начал рассказывать о былых временах, когда трава зеленее
была...

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 613 bytes --]


Twas brillig at 16:45:22 16.06.2009 UTC+03 when dmitriy.kruglikov@gmail.com did gyre and gimble:

 >> Так он и выпускает, как положено. Вот ключи не создаёт. Так и не
 >> должен по соображениям безопасности.

 DK> А можно их озвучить (соображения) в письменном виде ?

Закрытый ключ, известный более, чем одному человеку, называется
открытым (c) не помню кто, в подписи Витуса было.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --]

Re: [sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

16 июня 2009 Dmitriy Kruglikov написал:
> 16 июня 2009 г. 16:08 пользователь Андрей Черепанов  написал:
> > Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен
> > по соображениям безопасности.
>
> А можно их озвучить (соображения) в письменном виде ?
>
> А то как-то непонятно ...
> Пароли в открытом виде хранить можно,
> а ключик сгенерить и положить в нужное мето - нет ...
> А если я тот же ключик сгенерю через ...,
> а потом положу в то же место, так это секьюрнее ?
> И для того, чтобы ключик сгенерить, мне еще кучу ненужного софта поставить
> ?
>
> Не, чет это не похоже на правильное решение ...
Есть два usecase'а:
1. Нужен ключ для доступа через VPN. Он создаётся в OpenVPN-соединения и там 
же можно скачать csr. Через модуль alterator-ca выписываем сертификат и 
скачиваем сертификат самого CA. Сертификаты скармливаем модулю OpenVPN-
соединения. Ключи и сертификаты на месте и готовы к работе к VPN-сервером, 
который по той же схеме подписывается в том же CA. Ничего ставить не нужно - 
ключи генерируются прозрачно. Таким образом, всё, что нужно, идёт в модулях 
alterator.

2. По какой-то причине нужно подписать ключ для чего-то. Тогда ставим tinyca и 
начинаем извращения. Собственно, никто и не говоил, что для левых задач нужно 
делать модуль в alterator.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

17 июня 2009 Dmitriy Kruglikov написал:
> А вот идея генерации ключа в месте использования (тут же, рядом с CA) более
> чем убедителен, как минимум, для меня.
У нас была эта идея. Но натолкнулась на практику, что ключи нужны для VPN (где 
и были реализованы) и более нигде. С точки зрения юзабилити неудобно стягивать 
непонятно для чего сгенерённые ключи (напомню, это три файла). Да и с точки 
зрения безопасности возможность простого получения закрытой части ключа - 
небезопасно.

> Более того, использование формализованного интерфейса позволяет сисадмину
> даже не подозревать о месторасположении этих ключей ...
Как раз даёт простор для ошибок по "забыванию" скачивания части компонентов.

> P.S.
> Я бы не стал учить основам секретности начальника аппаратной спецсвязи
> (хоть и бывшего).
> Среди нас тут еще поискать такого же параноика в области безопасности :)
Тогда почему ты ратуешь за откровенную дыру?

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] [JT] alterator-ca - откуда брать csr

[Андрей Черепанов]

17 июня 2009 Ivan Fedorov написал:
> Ну разве, что красивая девушка - им и с нулём пиписек, есть чем
> похвастать перед нами обычно! :)
С формальной и практической точки зрения ты не прав. У них тоже это есть, но 
другой конфигурации.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

17 июня 2009 Dmitriy Kruglikov написал:
> 17 июня 2009 г. 17:19 пользователь Андрей Черепанов  написал:
> > Есть два usecase'а:
>
> Как много  usecase'ов ты пропустил ...
> Точнее, привел только один реальный пример ...
> У нас достаточно сервисов, которым ключик то же неужен ...
> Apache, Postfix, Jabber, Cyrus-IMAP, LDAP ...
Это реализовано в alterator-ca в "локальных сертификатах". Правда, нужно ждать 
дух часов ночи по умолчанию. Но это работает. Важно лишь проанонсировать эту 
службу. Подробнее тебе raorn@ ответит.

>  Собственно, никто и не говоил, что для левых задач нужно делать модуль в
>
> > alterator.
>
> Если их считать левыми, то конечно ...
> А если строить СА только ради одного сервиса, то туда, к нему,
> и поместить управление (его персональным) СА,
> и спрятать от народа, а не смущать умы ...
>
> Потому как имеет ненулевую вероятность ситуация, когда OpenVPN не нужен,
> а вот СА - таки да ...
Я лишь показал на примере множественности ключей для VPN. Более того, ключи 
пользователей могут (и должны) генериться на клиентских машинах. В вот службы 
имеют по одному ключу и вписываются в парадигму локальных сертификатов.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [sisyphus] [JT] alterator-ca - откуда брать csr

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 935 bytes --]

Андрей Черепанов <cas-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org> writes:

> 17 июня 2009 Ivan Fedorov написал:
>> Ну разве, что красивая девушка - им и с нулём пиписек, есть чем
>> похвастать перед нами обычно! :)
> С формальной и практической точки зрения ты не прав. У них тоже это
> есть, но другой конфигурации.

Да, но оно и используется уже в другом ключе, так что из спора
выбывает... хотя и их прелести есть у нас тоже, но их же никто вроде не
пытается вносить в предмет спора? :)

Так что пусть уж каждый хвастается тем, что этого воистину достойно! :)

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]