> Не бывает. Как упыря. В смысле пароля у сертификата. Пароль бывает у > секретного ключа. Или у PKCS12, который такой контейнер для сертификата > И секретного ключа. > > Секретный ключ это отдельная сущность лежит в отдельном файле, и > поменять у него пароль, в том числе и снять его совсем с помощью команд > openssl rsa или openssl dsa. > > Из pkcs12 нужно потом всё равно потом извлекать сертификат и ключ в > PEM-формате. Вот при извлечении можно указать что ключ без пароля > сохранять.
> По мнению создателей tinyca админ сервера знает о криптографии > достаточно, чтобы самостоятельно снять пароль с секретного ключа. > если считает, что это безопасно, или воспользоваться опцией > --management-query-passwords у OpenVPN, если считает что ключ на диске > сервера находится в недостаточной безопасности. Спасибо. Оказывается, предусмотрены разные модели безопасности. А можно найти какие-то документы, когда какой вариант оправдано использовать - не техническое описание, а именно как выбрать стратегию? Технических хауту много, но хотелось бы сначала четко увидеть цель и потом уже определиться со средствами.