LINUX.ORG.RU
ФорумAdmin

Postfix. Понимание параметра smtpd_tls_CAfile

 ,


0

2

Доброго времени суток. Помогите, пожалуйста, ПОНЯТЬ логику.

Для чего нужен этот параметр smtpd_tls_CAfile?

Пытаюсь понять теорию сертификации, и нигде не могу найти нормальной статьи. Везде каждый по своему называет сертификаты подписями, ключи сертификатами. Кто во что горазд то и пишет.

Есть ассиметричные алгоритмы. Два ключа один шифрует другой дешифровывает. При этом обе функции на одном ключе не возможны.

Если рассматривать задачу самоподписанных сертификатов, тогда для начала генерируется что? Открытый и закрытые ключи «центра сертификации», затем я генерирую закрытый и открытый ключи для сервера,затем запрос на создание сертификата, потом я должен сделать сертификат ИЗ ОТКРЫТОГО КЛЮЧА и запроса?

Окей. А зачем параметр smtpd_tls_CAfile? Как он вобще учавствует в работе обмена информации?

Может кто то знает статью где весь процесс взаимодействия написан от и до. Перечитанный кучи статей и у каждого по разному, и везде все как то поверхностно.

Возникают вопросы: а что у нас тогда за доверенные сертификаты в виндовых операционках, и каким они боком? какая там информация? что с их помощью выполняется? Если подтверждение владельца происходит с помощью этих сертификатов, то каким образом? А зачем в постфиксе указывать сертификаты корневые, если проверяет истинность клиент? а как проверят сервер истинность клиента? и т.п.

Народ, поделитесь, где эту теорию освоить. Никак не могу понять зачем параметр smtpd_tls_CAfile с теоретических основ.

Ответ на: комментарий от vehpbkrby

Куда уж пережёваннее RFC ? O_o У них даже значения should - shouldn't - must - mustn't - may описаны.

Есть переводы RFC на русский, но не пользуюсь - годноту подсказать не могу.

гугл - «SSL RFC руссий» и выбирай.

PunkoIvan ★★★★
()

man 5 postconf - тут все исчерпывающе. Могу только сказать, что этот параметр нужен только если вы хотите включить проверку клиентских сертфикатов, что в общем то не рекомендуется делать в целях совместимости с клиентами(опять же инфа из мана). Этот параметр что-то вроде хранилища корневых сертфикатов в винде, в его значении указывается бандл разных корневых сертов, которым будет доверять postfix при проверке клиентского сертификата.

N-N
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.