On 03/29/11 00:11, Miroslav Prymek:
Pokdu ona CA existuje prave k tomuto ucelu a tudiz drzeni jejiho platneho
certifikatu overuje prave toto jedine pravo, tak by to divne byt nemuselo.
Jesteze se stejne jako OpenVPN nechova kazdy software... Ja bych teda dvacet CA
udrzovat nechtel :)
Vidim zasadni rozdil mezi 0 a 1.
Shledavam rozeznatelny rozdil mezi 1 a 2.
Ale mezi 2 a 100 uz zadny podstatny rozdil nevidim.
Your mileage may vary.
Kdyz ona revokace k certifikatum tak nejak neoddelitelen patri - bez nich
nemohou certifikaty dobre fungovat nejen k tomuto ucelu, ale vlastne naprosto k
zadnemu, ktery me zrovna napada ...
To jo, ja ten problem vidim trochu jinde: certifikuju stroj
(CN=vencuv_notebook), nebo jeho nejakou roli (CN=vencuv_notebook_VPN_client)?
Jak chces. To k jakemu ucelu a s jakym CN vydavas certifikaty te-ktere
(vlastni) CA si urcujes ty - predpokladam, ze podle konkretnich potreb
resene ulohy a pouziteho software. A pokud si ve vztahu k resene uloze
a/nebo pouzitemu software zvolis nevhodne, tak se daji cekat komplikace.
Mne prijde docela logicky pouzivat co nejmin certifikatu
Jisteze je hloupe mit vic certifikatu nez potrebuju. Otazka je, jestli
je az tak velka vyhoda mit jich mene nez je potreba ;-)
A pak je revokace k nicemu...
Revokace neni NIKDY k nicemu, protoze prislusny privatni klic muze byt
vzdy kompromitovan.
To uz jsme ale opravdu odbocili jeste o trochu vic nez je tu zvykem.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
