On 2008.01.14 at 16:43:40 -0500, Nicholas wrote: > Vladimir Elizarov wrote: > > >в доке по openvpn написано что cn должны быть одинаковыми. > > Клиентские (если их много на один сервер) сертификаты должны иметь > разные серийники. > CN для ключа сервера должен быть такой же как домен.
Не как домен, а как hostname сервера. CN - это имя того, чью подпись удостоверяет сертификат. В случае сервера его имя это hostname. В случае OpenVPN это как раз не обязательно. Именно из соображений, что доменное имя внутри виртуальной сети может не совпадать с тем именем, на которое мы ходим чтобы попасть в эту сеть извне. Там это имя можно указать в настройках клиента. > >хочется именно автоматизаций. tinyca поставил, сейчас попробую. ejbca в > >репозитариях не увидел. А есть еще что-нибудь универсальное для выдвчи и > > хранения ЭЦП. интересует OpenPGP OpenPGP это совсем дргугая Public Key Infrastructure, не имеющая ничего общего с X.509, кроме используемых криптоалгоритмов (но их вообще в принципе не так много бывает) Правда, есть такая программа gpgsm, которая имеет интерфейс похожий gpg, но пользуется ключевой инфраструкторой X.509 и форматом сообщений S/MIME. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
