On 17 Jan 2001, Denis Shaposhnikov wrote:
> From: Denis Shaposhnikov <dsh@neva.vlink.ru>
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] ca.crt
> Date: 17 Jan 2001 12:29:52 +0300
> X-Comment-To: Artur Penttinen
> X-Procmail-List: iNet Admins Mailing List
>
> >>>>> "Artur" == Artur Penttinen <artur@niif.spb.su> writes:
>
> >> Вот имею я apache с mod_ssl. Сгенеpиpовал свой CA'шный
> >> ca.crt. Можно ли отдавать его пользователям, что-бы они добавляли
> >> его в свои browser'ы? Ведь любой, имеющий этот сеpтификат, сможет
> >> выдать с его помощью свой. В pезультате, чей-то сеpтификат будет
> >> обозначен, как выданный моим CA. Или я чего-то не понимаю?
>
> Artur> Не понимаете. С помощью ca вы можете подписывать клиентские
> Artur> сертификаты. В документации подробно описано.
>
> ТОЛЬКО клиентские? В сеpтификате сеpвеpа, котоpый я сгенеpиpовал,
> указано, что он выдан моим CA. Отсюда я делаю вывод, что любой,
> имеющий мой ca.crt, может сгенеpиpовать сеpтификат сеpвеpа, где будет
> указано, что он выдан моим CA.
Вам не надо раздавать ca кому ни попадя. Вам надо сгенерить сертификат
для клиента,подписать с помощю вашего ca и отдать ему.
а ca храните у себя :)
wbw,artur
--
Сначала ищешь справедливость, а потом другую работу...
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
