> AP> А как посмотреть список _действующих_ сертификатов? > > Что значит "список"? В случае с PKI такого понятия, в общем, не > существует. Нету некоего "общего списка". Хотя конкретный CA вполне > может держать список выданных им сертификатов. openssl ca так и делает.
Не знал, выходит, вопрос получения списка актуальных сертификатов и списка аннулированных решается. В таком случае да, имеет смысл делать свой центр сертификации. Хотя и хорошо, что есть вариант переложить эти заботы на долю OpenVPN-сервера, как я и делаю в настоящий момент. Вопрос - что следует сделать, чтобы клиенты имели доступ к такому центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире той задачи, которую мы обсуждали, но раз все так хорошо... > Мы поставляем программное обеспечение в систему, работающую таким > образом. И нет, это далеко не лавочка на три конторы, там все гораздо > серьезнее. Только нюанс - алгоритмы должны быть российскими... Насчет "лавочки" я кой-что слышал, тут вопросов нет. А вот юридический статус в вашем варианте реализации отличен от того, что вы говорите. Это связано с тем, что сертифицированные криптосистемы имеют определенный юридический статус, а обсуждаемое решение на OpenVPN с использованием несертифицированных алгоритмов такого статуса не имеет. Как я понимаю, в последних версиях openssl российские криптоалгоритмы реализованы, хотелось бы узнать, готовы ли они для промышленного использования или еще нет? И можно ли в OpenVPN использовать российские алгоритмы?
