Posted By: Xen () on 'CZunix' Title: Re: certifikaty & openvpn Date: Thu Oct 18 16:15:32 2007 > 1) > myslel jsem si, ze na server nahraju certifikat jen te samotne subCA, resp > tech subCA co maj mit moznost se pripojit (konkretne subCA daneho zakaznika > a > moje subCA - abych ja pouzival jen jeden cert) > To ale vubec nefungovalo, samotny subCA certifikat to nebralo vubec, musel > obsahovat certifikaty az po rootCA, coz by tak nevadilo, kdyby se pak ale > nemohl nakonektit kdokoli (klient z libovolne subCA!) > Mozna jsem ten princip blbe pochopil ja, ale jestli je to takhle ok, pak mi > trosku unika vyznam tech subCA. To co popisujes je bug/ficura OpenSSL, proste chce az koren nejkorenovatejsi. Smysl subCA muze byt v tom, ze delegujes opravneni vydavat certifikaty pod spolecnym korenem dalsim lidem a pritom mas moznost takto vydane certifikaty hromadne revokovat v pripade kompromitace subCA. Tim se chrani onen nejhlavnejsi koren instalovany v prohlizecich a podobne. U OpenVPN to asi nema valneho vyznamu. S CRL je to tak ze v kazdem jednom certifikatu by mel byt uveden odkaz kde lezi. Pak by to CRL melo byt podepsanou tema konretnima subCA. Problem je ze overovani CRL neni v OpenSSL moc naimplementovano a je to ponechano za domaci cviceni programatorum, kteri to dost casto dost zle zfusuji. Jak je to spatne ci dobre konkretne v OpenVPN jsem zatim nezkoumal. Semik > Pavel > >