From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <stalker@altlinux.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
 sa.local.altlinux.org
X-Spam-Level: *
X-Spam-Status: No, score=1.9 required=5.0 tests=BAYES_00, DNS_FROM_AHBL_RHSBL, 
 FUZZY_XPILL autolearn=no autolearn_force=no version=3.4.0
To: shaba@altlinux.ru,
 ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
References: <56741E2E.60608@altlinux.ru>
 <CAEdvWkRUNXa0z1JA-+iR_f-yvYtrqY2mOpxWmmRBdhS7pvqwcQ@mail.gmail.com>
From: Anton Gorlov <stalker@altlinux.ru>
X-Enigmail-Draft-Status: N1110
Message-ID: <567448AF.9030703@altlinux.ru>
Date: Fri, 18 Dec 2015 20:55:59 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101
 Thunderbird/38.4.0
MIME-Version: 1.0
In-Reply-To: <CAEdvWkRUNXa0z1JA-+iR_f-yvYtrqY2mOpxWmmRBdhS7pvqwcQ@mail.gmail.com>
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Authenticated-As: stalker@locum.ru 
Subject: Re: [Sysadmins] =?utf-8?b?0LrRgNC40L/RgtC+0L/RgNC+?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 18 Dec 2015 17:56:20 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/567448AF.9030703@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

18.12.2015 19:44, Alexey Shabalin пишет:

> все же "двухфакторная" аутентификация, скорее всего :)
> О каких продуктах идет речь? У них есть криптопровайдер, свой CA.
> На каких OC (серверах и клиентах) будет использоваться? какие сервисы
> защищать?
> Т.е. вам нужно понимать, что криптопровайдер - это типа библиотека. Кто
> умеет это библиотеку использовать? клиент и сервер. На чём будете
> строить CA для выписки сертификатов. Умеет ли клиент использовать
> криптопровайдер и аппаратный токен. Какой аппаратный токен выберете? 
> Сервер должен уметь аутентифицировать по сертификату или еще и авторизовать?
> Как ответите на все вопросы, так все и прояснится.


В общем сначала поанировался серврена винде с MSIIS и битрикс+php

Но потом решили trustedtl nginx+iis или apache.
Нужно в общем для сайта. Сейчас тестовую виртулку гонячю на linux - там
уже стоит cryptopro и trustedtls nginx

задача на сейчас сделать гостовый сертификат и авторизацию клиентов на
сайте с использованием клиентского сертификата или пароля
(ssl_verify_client  optional;)