* [sisyphus] alterator-ca - откуда брать csr @ 2009-06-13 20:24 Max Ivanov 2009-06-13 20:30 ` Alexey I. Froloff 2009-06-16 13:05 ` Андрей Черепанов 0 siblings, 2 replies; 27+ messages in thread From: Max Ivanov @ 2009-06-13 20:24 UTC (permalink / raw) To: ALT Linux Sisyphus discussions В CA нельзя создать сертификаты, только подписывать их. Уже существуют какие нибудь GUI/web тулзы чтобы создавать csr файлы? или это только в планах. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-13 20:24 [sisyphus] alterator-ca - откуда брать csr Max Ivanov @ 2009-06-13 20:30 ` Alexey I. Froloff 2009-06-14 6:27 ` Dmitriy Kruglikov 2009-06-14 17:28 ` Max Ivanov 2009-06-16 13:05 ` Андрей Черепанов 1 sibling, 2 replies; 27+ messages in thread From: Alexey I. Froloff @ 2009-06-13 20:30 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 562 bytes --] On Sun, Jun 14, 2009 at 12:24:35AM +0400, Max Ivanov wrote: > В CA нельзя создать сертификаты, только подписывать их. Создание csr подразумевает наличие приватного ключа. Управление любыми приватными ключами (кроме приватного ключа самого a-ca) выходит за рамки ответственности данного модуля. > Уже существуют какие нибудь GUI/web тулзы чтобы создавать csr > файлы? или это только в планах. Как грязи. Например tinyca2. P.S. Этот модуль писался исключительно для Office server и не рекомендуется к ручной установке. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-13 20:30 ` Alexey I. Froloff @ 2009-06-14 6:27 ` Dmitriy Kruglikov 2009-06-14 11:26 ` Alexey I. Froloff 2009-06-14 17:28 ` Max Ivanov 1 sibling, 1 reply; 27+ messages in thread From: Dmitriy Kruglikov @ 2009-06-14 6:27 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 13 июня 2009 г. 23:30 пользователь Alexey I. Froloff написал: > Управление > любыми приватными ключами (кроме приватного ключа самого a-ca) > выходит за рамки ответственности данного модуля. Та не, ибо нафиг оно тогда нужно ... Сервер у меня "там", а все остальное "тут" ... Все операции должны выполняться "там" без каких-либо дополнительных приседаний с бубном. Тем более, что все необходимые ключи из командной строки сгенерить можно... Зачем рвать гланды рекурсивно четвертому человеку в очереди ? -- Как правильно задавать вопросы: http://maddog.sitengine.ru/smart-question-ru.html Помогает: http://search.altlinux.org Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 6:27 ` Dmitriy Kruglikov @ 2009-06-14 11:26 ` Alexey I. Froloff 2009-06-14 11:45 ` Dmitriy Kruglikov 0 siblings, 1 reply; 27+ messages in thread From: Alexey I. Froloff @ 2009-06-14 11:26 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 783 bytes --] On Sun, Jun 14, 2009 at 09:27:21AM +0300, Dmitriy Kruglikov wrote: > > Управление любыми приватными ключами (кроме приватного ключа > > самого a-ca) выходит за рамки ответственности данного модуля. > Та не, ибо нафиг оно тогда нужно ... Если Вам это не нужно - этот модуль не для Вас. > Сервер у меня "там", а все остальное "тут" ... > Все операции должны выполняться "там" без каких-либо > дополнительных приседаний с бубном. Все операции, ради которых создавался этот модуль выполняются "там" без каких-либо дополнительных приседаний с бубном. > Тем более, что все необходимые ключи из командной строки сгенерить можно... Вот и генерите. > Зачем рвать гланды рекурсивно четвертому человеку в очереди ? А зачем выступать не по делу? -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 11:26 ` Alexey I. Froloff @ 2009-06-14 11:45 ` Dmitriy Kruglikov 2009-06-14 11:50 ` Aleksey Novodvorsky 2009-06-14 12:00 ` Alexey I. Froloff 0 siblings, 2 replies; 27+ messages in thread From: Dmitriy Kruglikov @ 2009-06-14 11:45 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 14 июня 2009 г. 14:26 пользователь Alexey I. Froloff написал: > Все операции, ради которых создавался этот модуль выполняются Либо уберите слово "все", напишите "некоторые", либо список "ради которых" публикуйте вместе с модулем. Там есть пымпочка "Справка" ... Иначе "тут селедку заворачивали" ... > Вот и генерите. А вот это уже в духе "сам дурак"... Давай обойдемся без этого ... Не пацаны ведь ... > А зачем выступать не по делу? А это после того, как у меня по совсем непонятной логике обновилось куча модулей альтератора и вместо вполне работоспособных модулей появился некий набор с "узко специализированным" засекреченным функционалом. И это в тот момент, когда мне срочно нужно было именно сертификаты и LDAP ... И это после того, как я лично сделал три подхода к управлению учетными записями LDAP через альтератор. И это в предвкушении того, что мне снова нужно будет перелопатить кучу скриптов и восстановить то, что уже работало и уже перестало. -- Как правильно задавать вопросы: http://maddog.sitengine.ru/smart-question-ru.html Помогает: http://search.altlinux.org Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 11:45 ` Dmitriy Kruglikov @ 2009-06-14 11:50 ` Aleksey Novodvorsky 2009-06-14 12:01 ` Dmitriy Kruglikov 2009-06-14 12:09 ` Alexey I. Froloff 2009-06-14 12:00 ` Alexey I. Froloff 1 sibling, 2 replies; 27+ messages in thread From: Aleksey Novodvorsky @ 2009-06-14 11:50 UTC (permalink / raw) To: ALT Linux Sisyphus discussions Дмитрий, это модуль для нового Office Server, его Preview будет в начале недели. Многое поменядось и еще, увы, не все документировано. Алексей, вопросы Дмитрия абсолютно правомерны, не надо так отвечать, пожалуйста. Rgrds, Алексей 14 июня 2009 г. 15:45 пользователь Dmitriy Kruglikov (dmitriy.kruglikov@gmail.com) написал: > 14 июня 2009 г. 14:26 пользователь Alexey I. Froloff написал: > >> Все операции, ради которых создавался этот модуль выполняются > Либо уберите слово "все", напишите "некоторые", > либо список "ради которых" публикуйте вместе с модулем. > Там есть пымпочка "Справка" ... > Иначе "тут селедку заворачивали" ... > >> Вот и генерите. > А вот это уже в духе "сам дурак"... Давай обойдемся без этого ... > Не пацаны ведь ... > >> А зачем выступать не по делу? > А это после того, как у меня по совсем непонятной логике обновилось > куча модулей альтератора и вместо вполне работоспособных модулей > появился некий набор с "узко специализированным" засекреченным функционалом. > > И это в тот момент, когда мне срочно нужно было именно сертификаты и LDAP ... > И это после того, как я лично сделал три подхода к управлению учетными > записями LDAP через альтератор. > И это в предвкушении того, что мне снова нужно будет перелопатить > кучу скриптов и восстановить то, что уже работало и уже перестало. > > > -- > Как правильно задавать вопросы: > http://maddog.sitengine.ru/smart-question-ru.html > > Помогает: > http://search.altlinux.org > > Best regards, > Dmitriy Kruglikov > Dmitriy.Kruglikov_at_gmail_dot_com > XMPP: Dmitriy.Kruglikov_at_gmail_dot_com > _______________________________________________ > Sisyphus mailing list > Sisyphus@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sisyphus ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 11:50 ` Aleksey Novodvorsky @ 2009-06-14 12:01 ` Dmitriy Kruglikov 2009-06-14 12:09 ` Alexey I. Froloff 1 sibling, 0 replies; 27+ messages in thread From: Dmitriy Kruglikov @ 2009-06-14 12:01 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 14 июня 2009 г. 14:50 пользователь Aleksey Novodvorsky написал: > Дмитрий, это модуль для нового Office Server, его Preview будет в > начале недели. Таки практика показывает, что нужно как-то ответвление делать для таких целей ... Потому как попадание новых модулей в кучу к старым взрывоопасно ... И выкладывать их нужно пачкой (слоем, уровнем) ... Назовите как угодно, но смысл - не атомарно, а молекулярно ... -- Как правильно задавать вопросы: http://maddog.sitengine.ru/smart-question-ru.html Помогает: http://search.altlinux.org Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 11:50 ` Aleksey Novodvorsky 2009-06-14 12:01 ` Dmitriy Kruglikov @ 2009-06-14 12:09 ` Alexey I. Froloff 1 sibling, 0 replies; 27+ messages in thread From: Alexey I. Froloff @ 2009-06-14 12:09 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 563 bytes --] On Sun, Jun 14, 2009 at 03:50:25PM +0400, Aleksey Novodvorsky wrote: > Алексей, вопросы Дмитрия абсолютно правомерны, Человек влез в разговор и начал рассказывать как всё должно работать (используя слова "удалять гланды автогеном"). Я на такие выпады реагирую неадекватно. > не надо так отвечать, пожалуйста. Да, виноват. Приношу Дмитрию свои извинения. Вместо того чтобы отвечать гадость, надо _сразу_ вносить этого человека в .mutt/score, а не ждать, что может быть ситуация изменится. Впредь так и буду поступать. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 11:45 ` Dmitriy Kruglikov 2009-06-14 11:50 ` Aleksey Novodvorsky @ 2009-06-14 12:00 ` Alexey I. Froloff 2009-06-14 12:09 ` Dmitriy Kruglikov 1 sibling, 1 reply; 27+ messages in thread From: Alexey I. Froloff @ 2009-06-14 12:00 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 1107 bytes --] On Sun, Jun 14, 2009 at 02:45:31PM +0300, Dmitriy Kruglikov wrote: > > Все операции, ради которых создавался этот модуль выполняются > Либо уберите слово "все", напишите "некоторые", > либо список "ради которых" публикуйте вместе с модулем. > Там есть пымпочка "Справка" ... > Иначе "тут селедку заворачивали" ... Умерьте пыл. Вы не модератор, чтобы указывать мне. > > А зачем выступать не по делу? > А это после того, как у меня по совсем непонятной логике обновилось > куча модулей альтератора и вместо вполне работоспособных модулей > появился некий набор с "узко специализированным" засекреченным функционалом. Вы говорите неправду: $ apt-cache showpkg alterator-ca Package: alterator-ca ... Reverse Depends: alterator-distro-office-server,alterator-ca Вы устанавливали Office Server? $ apt-cache show alterator-ca Package: alterator-ca ... Description: Office Server CA Manager Certification Authority Manager for Office Server. У Вас Office Server? Если нет, то зачем Вы поставили этот пакет? На этом разговор с Вами прекращаю. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 12:00 ` Alexey I. Froloff @ 2009-06-14 12:09 ` Dmitriy Kruglikov 0 siblings, 0 replies; 27+ messages in thread From: Dmitriy Kruglikov @ 2009-06-14 12:09 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 14 июня 2009 г. 15:00 пользователь Alexey I. Froloff ) написал: > Умерьте пыл. Вы не модератор, чтобы указывать мне. А я и не указываю... Я рекомендую... Раз модератору теперь у нас вне критики... > Вы говорите неправду: Да... Еще часто утрирую и преувеличиваю... > > Вы устанавливали Office Server? Да ... У меня их 3 штуки крутится. В офисах и на площадке у хостера... > У Вас Office Server? Если нет, то зачем Вы поставили этот пакет? Сдуру, как показала практика ... А точнее, строил хитрую сеть средствами OpenVPN ... С динамической маршрутизацией и OSPF внутри туннелей ... И давно уже хотелось мне хорошую инфраструктуру управления ключами ... > На этом разговор с Вами прекращаю. Съязвить что ли ? Спросить, не интересно ли Вам поговорить с умным человеком ? Нет, наверное не буду Вас злить... ;) -- Как правильно задавать вопросы: http://maddog.sitengine.ru/smart-question-ru.html Помогает: http://search.altlinux.org Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-13 20:30 ` Alexey I. Froloff 2009-06-14 6:27 ` Dmitriy Kruglikov @ 2009-06-14 17:28 ` Max Ivanov 2009-06-14 17:29 ` Mikhail Gusarov 2009-06-16 13:08 ` Андрей Черепанов 1 sibling, 2 replies; 27+ messages in thread From: Max Ivanov @ 2009-06-14 17:28 UTC (permalink / raw) To: ALT Linux Sisyphus discussions > Создание csr подразумевает наличие приватного ключа. Управление > любыми приватными ключами (кроме приватного ключа самого a-ca) > выходит за рамки ответственности данного модуля. К чему останавливаться на пол пути? Уверен, что не только я ожидают от модуля CA выпуска сертификатов,это было бы очень полезно. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 17:28 ` Max Ivanov @ 2009-06-14 17:29 ` Mikhail Gusarov 2009-06-16 13:08 ` Андрей Черепанов 1 sibling, 0 replies; 27+ messages in thread From: Mikhail Gusarov @ 2009-06-14 17:29 UTC (permalink / raw) To: ALT Linux Sisyphus discussions [-- Attachment #1: Type: text/plain, Size: 731 bytes --] Twas brillig at 21:28:15 14.06.2009 UTC+04 when ivanov.maxim@gmail.com did gyre and gimble: >> Создание csr подразумевает наличие приватного ключа. Управление >> любыми приватными ключами (кроме приватного ключа самого a-ca) >> выходит за рамки ответственности данного модуля. MI> К чему останавливаться на пол пути? Уверен, что не только я ожидают MI> от модуля CA выпуска сертификатов,это было бы очень полезно. Патчи, как обычно, welcome. -- [-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-14 17:28 ` Max Ivanov 2009-06-14 17:29 ` Mikhail Gusarov @ 2009-06-16 13:08 ` Андрей Черепанов 1 sibling, 1 reply; 27+ messages in thread From: Андрей Черепанов @ 2009-06-16 13:08 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 14 июня 2009 Max Ivanov написал: > > Создание csr подразумевает наличие приватного ключа. Управление > > любыми приватными ключами (кроме приватного ключа самого a-ca) > > выходит за рамки ответственности данного модуля. > > К чему останавливаться на пол пути? Уверен, что не только я ожидают от > модуля CA выпуска сертификатов,это было бы очень полезно. Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен по соображениям безопасности. -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
[parent not found: <6c7be88d0906160645y4cf758a5lfc9cee7993e9853e@mail.gmail.com>]
* Re: [sisyphus] alterator-ca - откуда брать csr @ 2009-06-16 17:17 ` Ivan Fedorov 2009-06-17 11:24 ` Mikhail Gusarov 2009-06-17 14:19 ` Андрей Черепанов 2 siblings, 1 reply; 27+ messages in thread From: Ivan Fedorov @ 2009-06-16 17:17 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 1185 bytes --] Dmitriy Kruglikov <dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > 16 июня 2009 г. 16:08 пользователь Андрей Черепанов написал: > > Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен по > соображениям безопасности. > > > А можно их озвучить (соображения) в письменном виде ? > > А то как-то непонятно ... А что непонятного-то? Если их генерить там, то на сервере будут все ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте. А в нормальной ситуации ключ генерится в месте использования, и никогда оттуда не вытаскивается. Те же смарт-карты например умеют генерировать ключи внутри себя, и ключи эти неэкспортируемы в принципе со смарт-карты. [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
[parent not found: <6c7be88d0906162247w1ce17bc5jc71dec94992ade61@mail.gmail.com>]
* Re: [sisyphus] alterator-ca - откуда брать csr @ 2009-06-17 8:55 ` Ivan Fedorov 2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff 2009-06-17 11:16 ` [sisyphus] " Dmitriy Kruglikov 2009-06-18 8:10 ` Андрей Черепанов 1 sibling, 2 replies; 27+ messages in thread From: Ivan Fedorov @ 2009-06-17 8:55 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 4319 bytes --] Dmitriy Kruglikov <dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > > А то как-то непонятно ... > > А что непонятного-то? Если их генерить там, то на сервере будут все > ключи, всех служб/пользователей/чего-то ещё. В ОДНОМ месте. > > Они и так будут в этом _одном_ месте ... С какого это перепугу??? > Только один из ключей нужно будет сгенерить на стороне и потом > положить в это _одно_ место... > На мой взгляд, это менее секьюрно ... > > А в нормальной ситуации ключ генерится в месте использования, и никогда > оттуда не вытаскивается. > > Что я и предлагаю ... > Сгенерить на месте использования и не вытаскивать ... У вас все ключи используются на машине с CA? > Те же смарт-карты например умеют генерировать > ключи внутри себя, и ключи эти неэкспортируемы в принципе со > смарт-карты. > > > Ну, видел и я некоторые генераторы ключей, которые генерят ключ на данную > минуту, > синхронно с сервером ... Прошла минута - новый ключ ... > Прошло два года - новый генератор ... > Но разве мы об этом говорим ? Нет, вы похоже говорите о сессионных ключах... или об one-time token, а это немножко другое. > В данном _конкретном_ вопросе считаю нецелесообразным ограничивать функционал > модуля, управляющего центром сертификации. Вы вообще расшифровку акронима CA знаете? На машине с CA должен быть ровно 1 ключ - ключ CA. Всё, точка. > Агрументы о секьюрности чего-то, > рядом с хранением паролей в открытом виде (конфиг slapd), > выглядят не очень убедительно. Это как бы немного разные уровни - пароль к базе с шифрованными паролями пользователей и набор всех ключей шифрования. > А вот идея генерации ключа в месте использования (тут же, рядом с CA) более чем > убедителен, как минимум, для меня. > > Более того, использование формализованного интерфейса позволяет сисадмину даже > не подозревать о месторасположении этих ключей ... Оооо...так вы хотите, чтобы админ ещё и не понимая как работает безопасность, настраивал её?! Ну извините, бывает... Вы сами-то понимаете разницу между ключом и сертификатом? > P.S. > Я бы не стал учить основам секретности начальника аппаратной спецсвязи (хоть и > бывшего). И что? А меня были среди знакомых и действующие... хотя я бы тоже не стал - зачем ему зря голову забивать... > Среди нас тут еще поискать такого же параноика в области безопасности :) Ой, да параноиков я могу хоть миллион найти, а вот людей хотя бы PS: Давай теперь пиписьками меряться? У меня одна, у кого больше? [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] [JT] alterator-ca - откуда брать csr 2009-06-17 8:55 ` Ivan Fedorov @ 2009-06-17 9:23 ` Alexey I. Froloff 2009-06-17 9:25 ` Mikhail Gusarov 2009-06-17 9:47 ` Ivan Fedorov 2009-06-17 11:16 ` [sisyphus] " Dmitriy Kruglikov 1 sibling, 2 replies; 27+ messages in thread From: Alexey I. Froloff @ 2009-06-17 9:23 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 300 bytes --] On Wed, Jun 17, 2009 at 12:55:52PM +0400, Ivan Fedorov wrote: > PS: Давай теперь пиписьками меряться? У меня одна, у кого больше? Кстати о криптографии. У Шнайера описан замечательный протокол сравнения двух чисел с нулевым разглашением. Как раз для этого случая. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] [JT] alterator-ca - откуда брать csr 2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff @ 2009-06-17 9:25 ` Mikhail Gusarov 2009-06-17 9:47 ` Ivan Fedorov 1 sibling, 0 replies; 27+ messages in thread From: Mikhail Gusarov @ 2009-06-17 9:25 UTC (permalink / raw) To: ALT Linux Sisyphus discussions [-- Attachment #1: Type: text/plain, Size: 551 bytes --] Twas brillig at 13:23:17 17.06.2009 UTC+04 when raorn@altlinux.org did gyre and gimble: >> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше? AIF> Кстати о криптографии. У Шнайера описан замечательный протокол AIF> сравнения двух чисел с нулевым разглашением. Как раз для этого AIF> случая. Для этого случая он не подходит, -- [-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] [JT] alterator-ca - откуда брать csr 2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff 2009-06-17 9:25 ` Mikhail Gusarov @ 2009-06-17 9:47 ` Ivan Fedorov 2009-06-18 8:12 ` Андрей Черепанов 1 sibling, 1 reply; 27+ messages in thread From: Ivan Fedorov @ 2009-06-17 9:47 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 859 bytes --] "Alexey I. Froloff" <raorn-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org> writes: > On Wed, Jun 17, 2009 at 12:55:52PM +0400, Ivan Fedorov wrote: >> PS: Давай теперь пиписьками меряться? У меня одна, у кого больше? > Кстати о криптографии. У Шнайера описан замечательный протокол > сравнения двух чисел с нулевым разглашением. Как раз для этого > случая. Ты знаешь, я уже всё что надо разгласил - сомневаюсь, что кто-то сможет меня переплюнуть... Ну разве, что красивая девушка - им и с нулём пиписек, есть чем похвастать перед нами обычно! :) [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] [JT] alterator-ca - откуда брать csr 2009-06-17 9:47 ` Ivan Fedorov @ 2009-06-18 8:12 ` Андрей Черепанов 2009-06-18 8:36 ` Ivan Fedorov 0 siblings, 1 reply; 27+ messages in thread From: Андрей Черепанов @ 2009-06-18 8:12 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 17 июня 2009 Ivan Fedorov написал: > Ну разве, что красивая девушка - им и с нулём пиписек, есть чем > похвастать перед нами обычно! :) С формальной и практической точки зрения ты не прав. У них тоже это есть, но другой конфигурации. -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] [JT] alterator-ca - откуда брать csr 2009-06-18 8:12 ` Андрей Черепанов @ 2009-06-18 8:36 ` Ivan Fedorov 0 siblings, 0 replies; 27+ messages in thread From: Ivan Fedorov @ 2009-06-18 8:36 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 935 bytes --] Андрей Черепанов <cas-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org> writes: > 17 июня 2009 Ivan Fedorov написал: >> Ну разве, что красивая девушка - им и с нулём пиписек, есть чем >> похвастать перед нами обычно! :) > С формальной и практической точки зрения ты не прав. У них тоже это > есть, но другой конфигурации. Да, но оно и используется уже в другом ключе, так что из спора выбывает... хотя и их прелести есть у нас тоже, но их же никто вроде не пытается вносить в предмет спора? :) Так что пусть уж каждый хвастается тем, что этого воистину достойно! :) [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-17 8:55 ` Ivan Fedorov 2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff @ 2009-06-17 11:16 ` Dmitriy Kruglikov 2009-06-17 11:22 ` Ivan Fedorov 1 sibling, 1 reply; 27+ messages in thread From: Dmitriy Kruglikov @ 2009-06-17 11:16 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 17 июня 2009 г. 11:55 пользователь Ivan Fedorov написал: > > С какого это перепугу??? Пару цитат: 1) Центр Сертификации (Certification Authority, CA) является пакетом программного обеспечения, принимающим и обрабатывающим запросы на выдачу сертификатов, издающим сертификаты и управляющим выданными сертификатами. 2) Итого у центра сертификации имеется: - закрытый ключ - корневой сертификат (хранящий в себе открытый ключ); - список отозванных (скомпрометированных) сертификатов 3) Создание корневого сертификата включает: - Генерацию закрытого ключа. - Генерацию открытого ключа и его подпись с помощью закрытого. > PS: Давай теперь пиписьками меряться? У меня одна, у кого больше? Эх, молодежь ... Не количеством, а качеством... Толку, если оно стекляное ... Хоть вокругу талии, как папуас, вывешивай ... P.P.S. И давай больше в таком духе не будем продолжать, да? -- Как правильно задавать вопросы: http://maddog.sitengine.ru/smart-question-ru.html Помогает: http://search.altlinux.org Best regards, Dmitriy Kruglikov Dmitriy.Kruglikov_at_gmail_dot_com XMPP: Dmitriy.Kruglikov_at_gmail_dot_com ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-17 11:16 ` [sisyphus] " Dmitriy Kruglikov @ 2009-06-17 11:22 ` Ivan Fedorov 0 siblings, 0 replies; 27+ messages in thread From: Ivan Fedorov @ 2009-06-17 11:22 UTC (permalink / raw) To: sisyphus [-- Attachment #1: Type: text/plain, Size: 1606 bytes --] Dmitriy Kruglikov <dmitriy.kruglikov-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes: > 17 июня 2009 г. 11:55 пользователь Ivan Fedorov написал: >> >> С какого это перепугу??? > > Пару цитат: > > 1) > Центр Сертификации (Certification Authority, CA) является пакетом > программного обеспечения, принимающим и обрабатывающим запросы на > выдачу сертификатов, издающим сертификаты и управляющим выданными > сертификатами. > > 2) > Итого у центра сертификации имеется: > - закрытый ключ > - корневой сертификат (хранящий в себе открытый ключ); > - список отозванных (скомпрометированных) сертификатов > > 3) > Создание корневого сертификата включает: > - Генерацию закрытого ключа. > - Генерацию открытого ключа и его подпись с помощью закрытого. И где тут хоть слово написано о закрытых ключах пользователей/служб? > P.P.S. > И давай больше в таком духе не будем продолжать, да? Ну так не я начал рассказывать о былых временах, когда трава зеленее была... [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-17 8:55 ` Ivan Fedorov @ 2009-06-18 8:10 ` Андрей Черепанов 1 sibling, 0 replies; 27+ messages in thread From: Андрей Черепанов @ 2009-06-18 8:10 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 17 июня 2009 Dmitriy Kruglikov написал: > А вот идея генерации ключа в месте использования (тут же, рядом с CA) более > чем убедителен, как минимум, для меня. У нас была эта идея. Но натолкнулась на практику, что ключи нужны для VPN (где и были реализованы) и более нигде. С точки зрения юзабилити неудобно стягивать непонятно для чего сгенерённые ключи (напомню, это три файла). Да и с точки зрения безопасности возможность простого получения закрытой части ключа - небезопасно. > Более того, использование формализованного интерфейса позволяет сисадмину > даже не подозревать о месторасположении этих ключей ... Как раз даёт простор для ошибок по "забыванию" скачивания части компонентов. > P.S. > Я бы не стал учить основам секретности начальника аппаратной спецсвязи > (хоть и бывшего). > Среди нас тут еще поискать такого же параноика в области безопасности :) Тогда почему ты ратуешь за откровенную дыру? -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-16 17:17 ` Ivan Fedorov @ 2009-06-17 11:24 ` Mikhail Gusarov 2009-06-17 14:19 ` Андрей Черепанов 2 siblings, 0 replies; 27+ messages in thread From: Mikhail Gusarov @ 2009-06-17 11:24 UTC (permalink / raw) To: ALT Linux Sisyphus discussions [-- Attachment #1: Type: text/plain, Size: 613 bytes --] Twas brillig at 16:45:22 16.06.2009 UTC+03 when dmitriy.kruglikov@gmail.com did gyre and gimble: >> Так он и выпускает, как положено. Вот ключи не создаёт. Так и не >> должен по соображениям безопасности. DK> А можно их озвучить (соображения) в письменном виде ? Закрытый ключ, известный более, чем одному человеку, называется открытым (c) не помню кто, в подписи Витуса было. -- [-- Attachment #2: Type: application/pgp-signature, Size: 834 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-16 17:17 ` Ivan Fedorov 2009-06-17 11:24 ` Mikhail Gusarov @ 2009-06-17 14:19 ` Андрей Черепанов 2 siblings, 1 reply; 27+ messages in thread From: Андрей Черепанов @ 2009-06-17 14:19 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 16 июня 2009 Dmitriy Kruglikov написал: > 16 июня 2009 г. 16:08 пользователь Андрей Черепанов написал: > > Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен > > по соображениям безопасности. > > А можно их озвучить (соображения) в письменном виде ? > > А то как-то непонятно ... > Пароли в открытом виде хранить можно, > а ключик сгенерить и положить в нужное мето - нет ... > А если я тот же ключик сгенерю через ..., > а потом положу в то же место, так это секьюрнее ? > И для того, чтобы ключик сгенерить, мне еще кучу ненужного софта поставить > ? > > Не, чет это не похоже на правильное решение ... Есть два usecase'а: 1. Нужен ключ для доступа через VPN. Он создаётся в OpenVPN-соединения и там же можно скачать csr. Через модуль alterator-ca выписываем сертификат и скачиваем сертификат самого CA. Сертификаты скармливаем модулю OpenVPN- соединения. Ключи и сертификаты на месте и готовы к работе к VPN-сервером, который по той же схеме подписывается в том же CA. Ничего ставить не нужно - ключи генерируются прозрачно. Таким образом, всё, что нужно, идёт в модулях alterator. 2. По какой-то причине нужно подписать ключ для чего-то. Тогда ставим tinyca и начинаем извращения. Собственно, никто и не говоил, что для левых задач нужно делать модуль в alterator. -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
[parent not found: <6c7be88d0906170742s54f847abkf5e011eb62eb7c42@mail.gmail.com>]
* Re: [sisyphus] alterator-ca - откуда брать csr @ 2009-06-18 8:17 ` Андрей Черепанов 0 siblings, 0 replies; 27+ messages in thread From: Андрей Черепанов @ 2009-06-18 8:17 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 17 июня 2009 Dmitriy Kruglikov написал: > 17 июня 2009 г. 17:19 пользователь Андрей Черепанов написал: > > Есть два usecase'а: > > Как много usecase'ов ты пропустил ... > Точнее, привел только один реальный пример ... > У нас достаточно сервисов, которым ключик то же неужен ... > Apache, Postfix, Jabber, Cyrus-IMAP, LDAP ... Это реализовано в alterator-ca в "локальных сертификатах". Правда, нужно ждать дух часов ночи по умолчанию. Но это работает. Важно лишь проанонсировать эту службу. Подробнее тебе raorn@ ответит. > Собственно, никто и не говоил, что для левых задач нужно делать модуль в > > > alterator. > > Если их считать левыми, то конечно ... > А если строить СА только ради одного сервиса, то туда, к нему, > и поместить управление (его персональным) СА, > и спрятать от народа, а не смущать умы ... > > Потому как имеет ненулевую вероятность ситуация, когда OpenVPN не нужен, > а вот СА - таки да ... Я лишь показал на примере множественности ключей для VPN. Более того, ключи пользователей могут (и должны) генериться на клиентских машинах. В вот службы имеют по одному ключу и вписываются в парадигму локальных сертификатов. -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] alterator-ca - откуда брать csr 2009-06-13 20:24 [sisyphus] alterator-ca - откуда брать csr Max Ivanov 2009-06-13 20:30 ` Alexey I. Froloff @ 2009-06-16 13:05 ` Андрей Черепанов 1 sibling, 0 replies; 27+ messages in thread From: Андрей Черепанов @ 2009-06-16 13:05 UTC (permalink / raw) To: ALT Linux Sisyphus discussions 14 июня 2009 Max Ivanov написал: > В CA нельзя создать сертификаты, только подписывать их. Уже существуют > какие нибудь GUI/web тулзы чтобы создавать csr файлы? или это только в > планах. См. модули: OpenVPN-сервер OpenVPN-соединения -- Андрей Черепанов ALT Linux cas@altlinux.ru ^ permalink raw reply [flat|nested] 27+ messages in thread
end of thread, other threads:[~2009-06-18 8:36 UTC | newest] Thread overview: 27+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-06-13 20:24 [sisyphus] alterator-ca - откуда брать csr Max Ivanov 2009-06-13 20:30 ` Alexey I. Froloff 2009-06-14 6:27 ` Dmitriy Kruglikov 2009-06-14 11:26 ` Alexey I. Froloff 2009-06-14 11:45 ` Dmitriy Kruglikov 2009-06-14 11:50 ` Aleksey Novodvorsky 2009-06-14 12:01 ` Dmitriy Kruglikov 2009-06-14 12:09 ` Alexey I. Froloff 2009-06-14 12:00 ` Alexey I. Froloff 2009-06-14 12:09 ` Dmitriy Kruglikov 2009-06-14 17:28 ` Max Ivanov 2009-06-14 17:29 ` Mikhail Gusarov 2009-06-16 13:08 ` Андрей Черепанов 2009-06-16 17:17 ` Ivan Fedorov 2009-06-17 8:55 ` Ivan Fedorov 2009-06-17 9:23 ` [sisyphus] [JT] " Alexey I. Froloff 2009-06-17 9:25 ` Mikhail Gusarov 2009-06-17 9:47 ` Ivan Fedorov 2009-06-18 8:12 ` Андрей Черепанов 2009-06-18 8:36 ` Ivan Fedorov 2009-06-17 11:16 ` [sisyphus] " Dmitriy Kruglikov 2009-06-17 11:22 ` Ivan Fedorov 2009-06-18 8:10 ` Андрей Черепанов 2009-06-17 11:24 ` Mikhail Gusarov 2009-06-17 14:19 ` Андрей Черепанов 2009-06-18 8:17 ` Андрей Черепанов 2009-06-16 13:05 ` Андрей Черепанов
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git