Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: HOW-TO: Создание собственного центра сертификации (CA - Certificate Authority)  (Прочитано 120303 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sergey113

  • Забанен
  • Активист
  • *
  • Сообщений: 407
  • равновесие
    • Просмотр профиля
    • Недоделанный сайт :)
Убрать юмор он неуместен, четко определить начальные данные, постановку задачи. По ходу изложения описывать мотивацию выбраных параметров (всех).  Тема заявлена общая, а  у Вас же реализация конкретной задачи на основе выпуска сертификатов. Сузить и по четче. Но можно не париться, так как сильно это не поможет.  В 99 процентах статьей  тоже, что и в этой теме. Куце, почти бессистемно, без толковых объяснений.
Так то хотелось бы хорошего учебника, даже варианта "для чайников"- расширенный, но тут надо иметь преподавательский талант. Это не каждому дано.
Вообще нашел лишь одну статью которая вызвала уважение к подаче материала. Но заточена на скрипты на основе openssl, что сразу охладило. Эти "прокладки" достали уже. Багов и антисекьюрити и так хватает, не знаешь кому верить и как проверить.
Графический материал никому не мешал, а в криптографии тем более.
 
« Последнее редактирование: 23 Декабря 2015, 23:06:10 от sergey113 »
ubuntu 14.04+firefox+virtualbox+windows=туда-сюда ::)
dell 1220-Core2Duo 2200МГц (T6670)-4Gb DDR2-800МГц-Intel GMA 4500MHD-ЗВУК Intel HDA-HTS725050A7E630

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Если вам нужно готовое решение - советую обратить внимание… куда-нибудь ещё. Я не нашёл решений, которые бы работали без иксов. Пришлось писать самому. По мере написания возникла и эта статья.
Здесь я рассказываю самые основы, что это такое и как это можно применить.
Я не ставил задачу пересказать здесь историю создания современных шифров (если вам это интересно - "Криптография от папируса до компьютера" - приятного чтения).
Я не ставил задачу подарить вам готовый инструмент. Нет, могу дать, качайте…
(Нажмите, чтобы показать/скрыть)
Но вы же опять ныть будете про скрипты, которым нельзя доверять.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн sergey113

  • Забанен
  • Активист
  • *
  • Сообщений: 407
  • равновесие
    • Просмотр профиля
    • Недоделанный сайт :)
Ну да... Не понимаю смысл этих скриптов. Минимальная автоматизация которая мешает овладеть самим инструментом (openssl). Первоисточником, а остальное от лукавого.  И так с openssl частенько возникают такие баги, что сомения берут это бэкдор или криптография. Если ты четко понимаешь суть проделываемого, не путаешься - это главное.  А скрипты эти написать сможет почти каждый. Особенно скрипты в стиле easy-rca.
Лучше бы подробнее остановились на минимально-приличном для удостоверяющего центра конфиге и немного туда-сюда на раширение-урезание параметров и на чем это скажется. Но у кого такие знания есть, молчат в тряпочку.
Эта тема это как шпаргалка для Вас.  Это понятно, вполне себе рабочий вариант.
Вот страница которая мне больше понравилась.
http://citforum.ru/security/cryptography/certificate_authority/
Там начало сухое, но ничего лишнего. А как к делу переходит тут уже похоже на остальных, меньше слов, одни команды. Но получше  чем в теме написано. Удостоверяющий центр это не только выполнение команд, но и анализ выполненных этапов, четкое представление, что ты делаешь и что надо сделать, а что делать нельзя. Тут бы схему (график) накидать. Разжевать. Но везде одна хрень. Копипаст  и шпоры. Одна радость на русском.
Серьезное и полезное дело сводиться вот к таким "дрыганиям" за клавой.
« Последнее редактирование: 23 Декабря 2015, 23:35:52 от sergey113 »
ubuntu 14.04+firefox+virtualbox+windows=туда-сюда ::)
dell 1220-Core2Duo 2200МГц (T6670)-4Gb DDR2-800МГц-Intel GMA 4500MHD-ЗВУК Intel HDA-HTS725050A7E630

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Критиковать все горазды. А давайте вместе писать? Если вы знаете, что надо написать.
Исходники статьи в архиве. Качайте, правьте. Присылайте мне текст.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн sergey113

  • Забанен
  • Активист
  • *
  • Сообщений: 407
  • равновесие
    • Просмотр профиля
    • Недоделанный сайт :)
Дык если бы понимал, то написал бы даже без чьей-то помощи. Я работал админом УЦ, но в рамках VipNet CA и УЦ.
А это совсем другой уровень. Windows, галочки, пошаговые мастера. Суть УЦ  была скрыта за всем этим. Я хоть дело с этим имел не понимаю, что из этих писулек могут вынести те кто с криптографией столкнулся впервые. А тут нахреначено команд и мало того, что из сотен параметров почему-то выбранны именно эти, так и еще не расписана основа УЦ. Какой УЦ поднимается, как хотя бы сымитировать не самоподписанный сертификат, а по образу выданого клиенту сторонним УЦ и т.д.?
К последней строке почти любой статьи понимаешь, что зарылся в этих командах и у же не понятно для чего он это делает. Какого лешего его так угараздило команды бить.
Но это лирика... Разберусь - напишу нормальную статью, не пойдет и хрен с ним.
« Последнее редактирование: 23 Декабря 2015, 23:53:52 от sergey113 »
ubuntu 14.04+firefox+virtualbox+windows=туда-сюда ::)
dell 1220-Core2Duo 2200МГц (T6670)-4Gb DDR2-800МГц-Intel GMA 4500MHD-ЗВУК Intel HDA-HTS725050A7E630

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Спрашивайте! Отвечу, что сам знаю.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Mordent

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
AnrDaemon,
спасибо за подробный ман. все, описанное здесь, работает.
единственное, хотел узнать, может есть какой-то готовый набор скриптов для автоматизации выпуска сертификатов? а то каждый раз вводить по 3 команды, и не запутаться в них - то еще приключение. особенно, если интегрировать в сервис по однодневному ключевому доступу.

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Набор есть, но я его несколько забросил, так что процесс использования оставляет желать лучшего.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Mordent

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
AnrDaemon,
если не сложно, поделитесь? поправить уже сделанное мне (далекому от никсов) будет проще, чем написать с нуля)

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Для памяти - keyAgreement
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн AnrDaemon

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Nota bene: Заранее меняйте корневой сертификат.
Не все программы ищут сертификаты только по ключу, многие требуют полного совпадения DN и hash выдавшего сертификата и проваливают валидацию, если не…

* AnrDaemon ушёл перевыпускать сертификаты и переустанавливать на все системы.


Пользователь добавил сообщение 15 Июня 2022, 23:57:45:
На будущее, я полагаю, такая схема будет уместна:
  • Сертификат ЦС выдаётся на 5 с половиной(!) лет. (2048 дней - круглая дата!)
  • Новый сертификат ЦС создаётся каждые три или четыре года.
  • Сертификаты пользователей/сервисов выдаются на год или меньше.
    Почему: Важно, чтобы -notafter выданных сертификатов не перехлестнула за -notafter ЦС.
  • Таким образом, в системе одновременно будет два root CA сертификата (активно действующий и легаси), но это не страшно.
« Последнее редактирование: 16 Июня 2022, 00:20:46 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.044 секунд. Запросов: 22.