Vladimir A. Butenko wrote:
> >
> >Так что спасибо, думаю вопрос закрыт. Неплохо бы этот скользкий момент
> >задокументировать в мануале на CGP?
>
> А какое, извините, отношение имеет CgatePro к openssl и его способам
> генерации сертификатов?
А при чем тут конкретно openssl? Надо написать, что доменным сертификатом будут подписываться S/MIME сертификаты пользователей, поэтому на доменном сертификате, устанавливаемом в CGP, должен стоять соответствующий атрибут. Администраторы, использующие разнообразные реализации CA и пользующиеся полем "Enter a PEM-encoded Certificate" в CGP, будут благодарны за такой пункт. Как минимум данный тред был бы не нужен.
>
> Вот если сертификат сгенеренный CGatePro не имеет нужных битиков
certificate _request_, сгенеренный CGatePro, вообще никаких
extensions не имеет. А зря. Если заранее известно, что доменный
сертификат будет использоваться для подписи других сертификатов
(юзерских) - почему бы не поставить на нем CA:TRUE? *
> - то да,
> надо разбираться.
Не все же используют CGP с самоподписанными сертификатами. А при использовании внешнего CA описанная мной проблема непременно возникнет.
*- я в курсе, что некоторые CA по умолчанию сбрасывают атрибут CA:TRUE с реквестов, чтобы случайно не породить новый CA, но вот это уже - действительно не проблема CGP.
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPNПолучено Mon Aug 08 08:51:30 2005
Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:16:42 MSK