Posted By: Xen () on 'CZunix'
Title:     Re: certifikaty & openvpn
Date:      Thu Oct 18 16:15:32 2007

> 1)
> myslel jsem si, ze na server nahraju certifikat jen te samotne subCA, resp 
> tech subCA co maj mit moznost se pripojit (konkretne subCA daneho zakaznika
> a 
> moje subCA - abych ja pouzival jen jeden cert)
> To ale vubec nefungovalo, samotny subCA certifikat to nebralo vubec, musel 
> obsahovat certifikaty az po rootCA, coz by tak nevadilo, kdyby se pak ale 
> nemohl nakonektit kdokoli (klient z libovolne subCA!)
> Mozna jsem ten princip blbe pochopil ja, ale jestli je to takhle ok, pak mi 
> trosku unika vyznam tech subCA.

To co popisujes je bug/ficura OpenSSL, proste chce az koren nejkorenovatejsi. 

Smysl subCA muze byt v tom, ze delegujes opravneni vydavat certifikaty pod 
spolecnym korenem dalsim lidem a pritom mas moznost takto vydane certifikaty 
hromadne revokovat v pripade kompromitace subCA. Tim se chrani onen 
nejhlavnejsi koren instalovany v prohlizecich a podobne. U OpenVPN to asi 
nema valneho vyznamu.

S CRL je to tak ze v kazdem jednom certifikatu by mel byt uveden odkaz kde 
lezi. Pak by to CRL melo byt podepsanou tema konretnima subCA. Problem je ze 
overovani CRL neni v OpenSSL moc naimplementovano a je to ponechano za 
domaci cviceni programatorum, kteri to dost casto dost zle zfusuji. Jak je to 
spatne ci dobre konkretne v OpenVPN jsem zatim nezkoumal.

Semik

> Pavel 
>  
>