Certifikaty pro ruzne sluzby a vlastni CA

[Michal Dobes]

Dalibor Straka napsal(a):
> mam vanocni problemek: Na spouste serveru jedne firmy mam ruzne sluzby,
> pro ktere jsme casem generoval certifikaty (ssl weby, smtps, openvpn
> a dalsi). Kazdy s jinymi parametry. Premyslel jsem, ze sjednotim vsechny
> certifikaty, vytvorim si vlastni CA a vytvorim nejaky skript nebo papir
> pro generovani novych certifikatu. Jde to takhle jednoduse vse sjednotit
> pod jednu strechu? Precetl jsem par howto, ktere se vzdy tykalo
> konkretni sluzby. Nevite o nejakem obecnem povidani a hlavne prikladu
> reseni modelove situace sjednocovani certifikatu?

Samozrejme je rada cest jak na to. Jednou y nich je to delat
pomoci openssl baliku. Primo jeho soucasti je skript jmenem CA,
ktery umi realiyovat jendoduchou certifikacni autoritu (skripty
dodavane s openvpn v podstate z toho vychazeji).
Dalsi moznosti je pouzit treba aplikaci XCA, ktera je ve verzi
pro Windows i linux a realizuje certifikacni autoritu pro
priznivce klikacich aplikaci. Umi ale pouzivat i preddefinovane
sablony pro ruzne situace, takze toho klikani neni moc. Navic
tento programek z tech nejruzneji zkousenych umoznoval realizovat
asi nejuplneji s plnou moznosti nastavovani parametru do certifikatu.
S openssl to jde take, ale je to mnohem vetsi fuska. Budu-li chtit
to mit opravdu dukladne, tak z openca projektu to chce vzit aspon
OCSP server, ten vestaveny v openssl prikazu je opravdu jen funkcni
demo.
Mam-li pobliz Windows 2K a vyse server, tak se da slusne rozjet CA
i na tom, je soucasti serveru. :-)
Jinak vrele doporucuji procist knihu "Velky pruvodce infrastrukturou
PKI", aby clovek ziskal alespon nejaky nahled na to, jak to ma zhruba
fungovat a jak postupovat.

M.