Внедрение сторонних сертификатов в репозиторий
Добрый день.
Имеется у меня именной freemail сертификат от Thawte. Есть и вполне естественное, на мой взгляд, желание: чтобы по одному этому сертификату (ну, хорошо, не именно этому, потому что он только для подписи почты, но по ОДНОМУ) ходить на все сайты, которые только возможно. Ан нет; обычно не получается.
Обычно сайт желает самолично выписать мне сертификат от своего имени как сертификационного агентства; если так – складывает спокойно что надо к себе в репозиторий, что надо выдает мне на руки, и приглашает приходить почаще. Следующий сайт – та же процедура. И так далее; сколько сайтов, на которые я хочу ходить – столько сертификатов.
Однако это только половина проблемы. Теперь представим, что я организовываю secure сайт, но устанавливать целое сертификационное агентство мне дорого, да и ни к чему.
Правильно было бы так.
Мои друзья добывают сертификаты кто уж как там хочет или может, приходят ко мне с дискеткой (или присылают подписанным мылом) и дают свой public key. Я этот public key внедряю в репозиторий авторизационного механизма моего веб-сервера (складываю в соотв. директорию), и все счастливы: юзеры могут приходить со своими собственными, очень trustful, сертификатами, а мой сервер понимает, кто пришел, и авторизует соотв. образом.
Вот тут и приключается облом. Мой эксперимент в таком ключе с Apache+PGP накрылся медным тазом, потому что клиентский сертификат должен быть обязательно выпущен моим сертификационным агенством. С прототипом SUN'овского сервера, пока он еще был бесплатный, та же история.
Чувствуете проблемку? Каждому я должен соорудить персональный сертификат, и отдать в личные руки. Хотя у него может быть уже есть десяток готовых сертификатов от агентств поавторитетнее меня, Васи Пупкина.
А теперь внимание, ВОПРОС.
1) Реализуема ли схема, которую я считаю правильной (описанная выше), теоретически? Лично я верю, что да.
2) Существуют ли продукты (в моем случае – авторизационная часть веб-сервера), работающие по такой схеме, т.е. способные внедрять в свой репозиторий сертификаты, выпущенные другим trustful агентством кроме него самого?
Заранее спасибо,
с наилучшими пожеланиями – Коала
комментариев: 9796 документов: 488 редакций: 5664
Чисто теоретически, если я правильно понял, Вам нужно создать корневой сертификат более высокого уровня, чем Thawte. (для своей системы разумеется) и этим сертификатом заверить Thawte, тогда получиться цепочка сертификатов от пользователя до Вашей системы.
спасибо за идею! Меня правда еще интересует, почему никто до меня не додумался до этой простой идеи – что с одним ключом ходить удобнее, чем со связкой. Невольно закрадывается мысль, что я чего-то не учел. Но сколько ни смотрю – принципиальных трудностей не вижу.
С наилучшими пожеланиями, Коала