Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 07:03:06 +0300:
>> > Собственный CA имеет смысл, вроде. >> > Вопрос только в том, насколько сложно (LDAP тоже казался простым, >> > но свои особенности у каждого сервиса сожрали уйму времени)? >> >> В свое время в сети гуглился документ SSL Certificates Howto. Там было >> довольно грамотно расписано. > Устарело оно лет на двадцать. Осталось на уровне X509v1. > >> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN >> пользоваться. Это сделанный по тому рецепту комплект скриптов для >> своего CA. > Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 > пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. > Возникла необходимость поднять парочку Name-based https-хостов на одной > машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. > Вообще никаких extension не умеет. > >> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание >> устройства PKI по схеме X509 (в PGP, например, схема другая). В >> упомянутом Howto изложение, помнится, было. > Ага было. На уровне RFC 2459, принятого в прошлом веке. > А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и > то с оглядкой на 6818. > Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом > современных реалий. Чтобы и X509v3 умело, и эллиптические кривые > понимало, причем не только в виде ECDSA. > А Шаплова заставим новый Certificates HOWTO написать. Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем добавить туда новые возможности, не потеряв в простоте применения для простых случаев? И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще чем у каждого второго асимметричный алгоритм "может быть любым, если это RSA". И генерировать сертификат на эллиптических кривых - нарываться на то, что смартфонное приложение этого не поймет.
