Re: Re: Изменение главного домена

От: Victor Sudakov <CGatePro_at_mx_ru>
Дата: Thu 20 Jan 2005 - 17:36:07 MSK

Dmitry Akindinov wrote:

> >>>> Старый SSL сертификат работать, конечно же, не будет.
> >>> 
> >>> В смысле не будет? Сервер перестанет его отдавать совсем или таки
> >>> будет отдавать сертификат со старым CN, пока не дойдут руки заменить?
> >> 
> >> А какой клиент поверит сертификату от relay1.tomsk.ru, если по его мнению он
> >> соединяется с relay2.tomsk.ru?

> >
> > Ну, тому же CGP в режиме "wherever possible (low security)" разве не
> > по барабану, какой там CN? Всякие sendmail-ы тоже вряд ли проверяют,
> > кому выдан сертификат.

> 
> Могут и проверить.
> В таких случаях, как мне кажется, self-signed сертификат - но на правильное
> имя - лучше, чем сертификат на другое имя, хоть и выданный известным

У нас он почти self-signed (в смысле, имеется свой корпоративный CA, который и выдаёт сертификаты всем серверам). Т.е. задержка с получением нового сертификата для сервера будет минимальная. Я собственно только и хотел узнать, будет ли после смены главного домена отдаваться старый сертификат или вообще никакой не будет.

И жаль конечно, что CGP позволяет в certificate request указать только один CN. Была бы там опция advanced, которая позволяет сделать несколько произвольных CN :)

> authority. Типа, если уж и показывать милиционерам паспорт, так чтобы хоть
> фотография там была ваша :-)
> 
> 

> > А для MUA наших пользователей у меня есть отдельный сертификат на
> > отдельном IP.

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN

Получено Thu Jan 20 14:36:10 2005