Certifikaty pro ruzne sluzby a vlastni CA

[Pavel Kankovsky]

On Mon, 24 Dec 2007, Dalibor Straka wrote:

> Napriklad by se mi libilo generovat si klice na jednotlivych strojich,
> pak vygenerovat zadost o podpis, tu poslat nejakemu serveru, ten ji
> podepise, ale aby k tomu nepotreboval ca.key, ale jen nejaky
> master-server-podepisovaci-certifikat.

Jak slyším frázi "podepisovat certifikátem" nebo něco podobného, tak sahám
po nabité pistoli. ;)

Mohl byste udělat to, že budete mít kořenovou CA, jejíž privátní klíč bude
většinou někde v trezoru, která své pravomoce deleguje na podřízenou CA,
která bude vydávat certifikáty pro koncové subjekty -- a svůj privátní 
klíč bude mít někde víc po ruce.

Význam to může mít ten, že delegace může být omezena např. na jména
určitého tvaru (což se ale moc nepoužívá), nebo ten, že při kompromitaci
privátního klíče podřízené CA v principu stačí revokovat a nahradit jí
vydané certifikáty i její vlastní certifikát, a nemuselo by být potřeba
všude vyměňovat kořenový certifikát (což ale stojí na poněkud
optimistickém předpokladu, že všichni kontrolují revokační seznamy).

Otázka je, jak moc velký provoz budete mít, jestli to má vůbec smysl takto 
komplikovat.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."