[Uneex] SSL-сертификаты и всё-всё-всё

Vladimir Ivanov ivlad на unixgods.net
Пн Окт 27 14:11:52 MSK 2003


On Mon, Oct 27, 2003 at 11:24:23AM +0400, Nikita V. Youshchenko wrote:
> >
> > С чего начать?
> 
> Чтобы мы могли ответить, ты наверное должен предложить, из чего выбирть.
> И услышать/прочитать было бы действительно интересно.
> 

Ладно. Тогда я просто расскажу, с чего это началось, а любопытствыющим
предлагаю задавать вопросы.

Захотелось нам "правильных" сертификатов. А то как-то "некруто" и "не
по-большому". В связи с этим сначала был сделан звонок в VeriSign.
Следует отметить низкую квалификацию sales-персонала там. Создается
ощущение, что перед ними лежит вопросник, который они читают.

Диалог выглядел примерно так:

- нам нужен сертификат для нашего CA
- вы хотите сертификаты для S/MIME?
- да, в том числе
- сколько?
- один [ведь у нас один корень иерархии CA]
- минутку, переключим вас на отдел по работе с индивидуальными клиентами

и так далее

в общем, от VeriSign я ничего не добился. пробовали мы еще с парой фирм
- или они не выдают сертификаты для CA или хотят это у себя хостить etc.

Потом наконец нашли одну контору, которые смогли нам продать то, что
хотелось. Хорошие sales, быстро отвечали, перезванивали etc, но техники
были странные.

Сначала нам выдали тестовые сертификаты (в процессе оказалось, что CA
Path они сделали 0, так что всю идею с PKI пришлось в мусор выкинуть),
что было успешно опробовано. Длина ключа 1024, что я нахожу приемлемым.
Срок жизни сертификата оговаривается при договоре. При желании, они
могут вписать другие OID (например, как у Siemens, что б голову тому
оторвали, тому, кто это придумал), и прочие мелочи. Я ничего не
вписывал.

После определюнных глюков с MS CA Server оно даже заработало и CA стал
выдавать сертификаты. Пока живет. CRL публикуются в AD и на Web.
Off-line CA я делал руками, но из-за того, что они не дали мне
сертификат с нормальным CA Path, в production так не вышло.

-- 
Vladimir Ivanov


Подробная информация о списке рассылки Uneex