Re: Re: И про недействительные X.509 сертификаты вопрос

От: Victor Sudakov <CGatePro_at_mx_ru>
Дата: Mon 08 Aug 2005 - 12:51:27 MSD

Vladimir A. Butenko wrote:
> >
> >Так что спасибо, думаю вопрос закрыт. Неплохо бы этот скользкий момент
> >задокументировать в мануале на CGP?
>
> А какое, извините, отношение имеет CgatePro к openssl и его способам
> генерации сертификатов?

А при чем тут конкретно openssl? Надо написать, что доменным сертификатом будут подписываться S/MIME сертификаты пользователей, поэтому на доменном сертификате, устанавливаемом в CGP, должен стоять соответствующий атрибут. Администраторы, использующие разнообразные реализации CA и пользующиеся полем "Enter a PEM-encoded Certificate" в CGP, будут благодарны за такой пункт. Как минимум данный тред был бы не нужен.

>
> Вот если сертификат сгенеренный CGatePro не имеет нужных битиков

certificate _request_, сгенеренный CGatePro, вообще никаких extensions не имеет. А зря. Если заранее известно, что доменный сертификат будет использоваться для подписи других сертификатов (юзерских) - почему бы не поставить на нем CA:TRUE? *
> - то да,
> надо разбираться.

Не все же используют CGP с самоподписанными сертификатами. А при использовании внешнего CA описанная мной проблема непременно возникнет.

*- я в курсе, что некоторые CA по умолчанию сбрасывают атрибут CA:TRUE с реквестов, чтобы случайно не породить новый CA, но вот это уже - действительно не проблема CGP.

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
Получено Mon Aug 08 08:51:30 2005

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:16:42 MSK