Re: LDAP
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 07:03:06 +0300:
>> > Собственный CA имеет смысл, вроде.
>> > Вопрос только в том, насколько сложно (LDAP тоже казался простым,
>> > но свои особенности у каждого сервиса сожрали уйму времени)?
>>
>> В свое время в сети гуглился документ SSL Certificates Howto. Там было
>> довольно грамотно расписано.
> Устарело оно лет на двадцать. Осталось на уровне X509v1.
>
>> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN
>> пользоваться. Это сделанный по тому рецепту комплект скриптов для
>> своего CA.
> Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30
> пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов.
> Возникла необходимость поднять парочку Name-based https-хостов на одной
> машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa.
> Вообще никаких extension не умеет.
>
>> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание
>> устройства PKI по схеме X509 (в PGP, например, схема другая). В
>> упомянутом Howto изложение, помнится, было.
> Ага было. На уровне RFC 2459, принятого в прошлом веке.
> А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и
> то с оглядкой на 6818.
> Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом
> современных реалий. Чтобы и X509v3 умело, и эллиптические кривые
> понимало, причем не только в виде ECDSA.
> А Шаплова заставим новый Certificates HOWTO написать.
Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем
добавить туда новые возможности, не потеряв в простоте применения для
простых случаев?
И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще
чем у каждого второго асимметричный алгоритм "может быть любым, если это
RSA". И генерировать сертификат на эллиптических кривых - нарываться на
то, что смартфонное приложение этого не поймет.
Reply to:
- Follow-Ups:
- Re: LDAP
- From: Victor Wagner <vitus@wagner.pp.ru>
- References:
- LDAP
- From: Артём Н. <artiom14@yandex.ru>
- Re: LDAP
- From: Коротаев Руслан <subscribe@mail.kr.pp.ru>
- Re: LDAP
- From: "D. H." <d.himro@yahoo.com>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- Re: LDAP
- From: Victor Wagner <vitus@wagner.pp.ru>