id: Гость   вход   регистрация
текущее время 13:13 29/03/2024
Автор темы: Гость, тема открыта 12/11/2004 15:06 Печать
http://www.pgpru.com/Форум/Криптография/ВнедрениеСтороннихСертификатовВРепозиторий
создать
просмотр
ссылки

Внедрение сторонних сертификатов в репозиторий


Добрый день.


Имеется у меня именной freemail сертификат от Thawte. Есть и вполне естественное, на мой взгляд, желание: чтобы по одному этому сертификату (ну, хорошо, не именно этому, потому что он только для подписи почты, но по ОДНОМУ) ходить на все сайты, которые только возможно. Ан нет; обычно не получается.


Обычно сайт желает самолично выписать мне сертификат от своего имени как сертификационного агентства; если так – складывает спокойно что надо к себе в репозиторий, что надо выдает мне на руки, и приглашает приходить почаще. Следующий сайт – та же процедура. И так далее; сколько сайтов, на которые я хочу ходить – столько сертификатов.


Однако это только половина проблемы. Теперь представим, что я организовываю secure сайт, но устанавливать целое сертификационное агентство мне дорого, да и ни к чему.
Правильно было бы так.
Мои друзья добывают сертификаты кто уж как там хочет или может, приходят ко мне с дискеткой (или присылают подписанным мылом) и дают свой public key. Я этот public key внедряю в репозиторий авторизационного механизма моего веб-сервера (складываю в соотв. директорию), и все счастливы: юзеры могут приходить со своими собственными, очень trustful, сертификатами, а мой сервер понимает, кто пришел, и авторизует соотв. образом.


Вот тут и приключается облом. Мой эксперимент в таком ключе с Apache+PGP накрылся медным тазом, потому что клиентский сертификат должен быть обязательно выпущен моим сертификационным агенством. С прототипом SUN'овского сервера, пока он еще был бесплатный, та же история.


Чувствуете проблемку? Каждому я должен соорудить персональный сертификат, и отдать в личные руки. Хотя у него может быть уже есть десяток готовых сертификатов от агентств поавторитетнее меня, Васи Пупкина.


А теперь внимание, ВОПРОС.
1) Реализуема ли схема, которую я считаю правильной (описанная выше), теоретически? Лично я верю, что да.
2) Существуют ли продукты (в моем случае – авторизационная часть веб-сервера), работающие по такой схеме, т.е. способные внедрять в свой репозиторий сертификаты, выпущенные другим trustful агентством кроме него самого?


Заранее спасибо,
с наилучшими пожеланиями – Коала


 
Комментарии
— unknown (12/11/2004 17:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может быть если над этим еще подумать, то что-то практическое и может быть.
1) Реализуема ли схема, которую я считаю правильной (описанная выше), теоретически?

Чисто теоретически, если я правильно понял, Вам нужно создать корневой сертификат более высокого уровня, чем Thawte. (для своей системы разумеется) и этим сертификатом заверить Thawte, тогда получиться цепочка сертификатов от пользователя до Вашей системы.
— Гость (15/11/2004 10:42)   <#>
Добрый день,
спасибо за идею! Меня правда еще интересует, почему никто до меня не додумался до этой простой идеи – что с одним ключом ходить удобнее, чем со связкой. Невольно закрадывается мысль, что я чего-то не учел. Но сколько ни смотрю – принципиальных трудностей не вижу.
С наилучшими пожеланиями, Коала
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3