Внедрение сторонних сертификатов в репозиторий
Добрый день.
Имеется у меня именной freemail сертификат от Thawte. Есть и вполне естественное, на мой взгляд, желание: чтобы по одному этому сертификату (ну, хорошо, не именно этому, потому что он только для подписи почты, но по ОДНОМУ) ходить на все сайты, которые только возможно. Ан нет; обычно не получается.
Обычно сайт желает самолично выписать мне сертификат от своего имени как сертификационного агентства; если так – складывает спокойно что надо к себе в репозиторий, что надо выдает мне на руки, и приглашает приходить почаще. Следующий сайт – та же процедура. И так далее; сколько сайтов, на которые я хочу ходить – столько сертификатов.
Однако это только половина проблемы. Теперь представим, что я организовываю secure сайт, но устанавливать целое сертификационное агентство мне дорого, да и ни к чему.
Правильно было бы так.
Мои друзья добывают сертификаты кто уж как там хочет или может, приходят ко мне с дискеткой (или присылают подписанным мылом) и дают свой public key. Я этот public key внедряю в репозиторий авторизационного механизма моего веб-сервера (складываю в соотв. директорию), и все счастливы: юзеры могут приходить со своими собственными, очень trustful, сертификатами, а мой сервер понимает, кто пришел, и авторизует соотв. образом.
Вот тут и приключается облом. Мой эксперимент в таком ключе с Apache+PGP накрылся медным тазом, потому что клиентский сертификат должен быть обязательно выпущен моим сертификационным агенством. С прототипом SUN'овского сервера, пока он еще был бесплатный, та же история.
Чувствуете проблемку? Каждому я должен соорудить персональный сертификат, и отдать в личные руки. Хотя у него может быть уже есть десяток готовых сертификатов от агентств поавторитетнее меня, Васи Пупкина.
А теперь внимание, ВОПРОС.
1) Реализуема ли схема, которую я считаю правильной (описанная выше), теоретически? Лично я верю, что да.
2) Существуют ли продукты (в моем случае – авторизационная часть веб-сервера), работающие по такой схеме, т.е. способные внедрять в свой репозиторий сертификаты, выпущенные другим trustful агентством кроме него самого?
Заранее спасибо,
с наилучшими пожеланиями – Коала
Может быть если над этим еще подумать, то что-то практическое и может быть.
Чисто теоретически, если я правильно понял, Вам нужно создать корневой сертификат более высокого уровня, чем Thawte. (для своей системы разумеется) и этим сертификатом заверить Thawte, тогда получиться цепочка сертификатов от пользователя до Вашей системы.
Добрый день,
спасибо за идею! Меня правда еще интересует, почему никто до меня не додумался до этой простой идеи – что с одним ключом ходить удобнее, чем со связкой. Невольно закрадывается мысль, что я чего-то не учел. Но сколько ни смотрю – принципиальных трудностей не вижу.
С наилучшими пожеланиями, Коала