Vladimir A. Butenko wrote:
> >>>
> >>>Есть у нас собственный CA, в пользовательских машинах его сертификат
> >>>установлен в хранилище "Доверенные корневые центры". Доменные
> >>>сертификаты для CGP также подписаны этим сертификатом.
> >>
> >>Надо, чтобы у этих доменных сертификатов явно стоял атрибут "может
> >>подписывать другие сертификаты".
> >
> >Правильно ли я понимаю, что разница лежит здесь:
> >
> > X509v3 extensions:
> > X509v3 Basic Constraints:
> > CA:FALSE
> >
> >versus
> >
> >X509v3 Basic Constraints:
> > CA:TRUE
> >
>
> Да, похоже. То есть - может он быть Certificate Authority или нет.
Это хорошо, потому что это поле можно задать в процессе подписывания реквеста. В смысле, openssl(1) позволяет это сделать.
>> >>они могут выдавать другие сертификаты) прописать в Windows явно, при
> >>>Когда пользователь генерит свой S/MIME сертификат через Веб-интерфейс,
> >>>тот оказывается подписанным доменным сертификатом. Последний тоже
> >>>устанавливаем на пользовательские машины. В результате получаем такую
> >>>цепочку:
> >>
> >>Если они (сертификаты) явно устанавливаются, то можно этот битик (того,
> >>что
> > IE->Internet Options->Content->Certificates. Там под "Advanced" много > всяких странных опций. Но самое главное - чтобы CGatePro сертификат попал в > "Intermediate Certificate Authorities" хранилище в Windows (по умолчанию он > куда-то не туда попадает).
Вот в "Intermediate Certificate Authorities" его никакими силами не загнать, даже если при импорте указать "выбрать хранилище вручную". Попадает он в "Другие пользователи".
А вот если при подписывании задать CA:TRUE (у "openssl ca" есть ключик -extensions), тогда да, доменный сертификат аккуратно ложится в "Промежуточные Центры сертификации."
Так что спасибо, думаю вопрос закрыт. Неплохо бы этот скользкий момент задокументировать в мануале на CGP?
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPNПолучено Mon Aug 08 08:02:32 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:16:42 MSK