LINUX.ORG.RU

История изменений

Исправление thesis, (текущая версия) :

Блин. Много букв, читал по диагонали.

Слияние файла корневого сертификата и файла со списком отозванных сертификатов в один

За-чем? Я именно этого не могу понять. Почему нельзя держать црл отдельным файлом? Я без наезда, просто искренне недоумеваю.

Ну будет их 100 шт. и что это изменит?

Насчет ста штук - это мне приглючилось, что ты клиентские сертификаты с црлами тоже сливаешь. Глюк уже прошел, но было поздно.
И все же - ЗАЧЕМ сливать СА с црлами? В чем удобство того, что вместо «обновить и закинуть на радиус црл» ты делаешь «обновить, слить воедино, закинуть на радиус црл+СА, рестартануть радиус»? Тем более, на венде црл все равно будет валяться отдельно от СА.

Вопрос: как добиться такого же «счастья» если я подписываю сертификат клиента не корневым ключом, а, например, серверным?

CA это CA, а сертификат сервиса - это сертификат сервиса. Не надо давать сертификату сервиса право на подписывание. Не хочешь подписывать клиентов Root'ом - сгенери подчиненный CA.

не уверен, что если спросить кратко, то будет понятна суть вопроса

Все равно непонятна, да еще и читать лень. Давай сокращать уже.

Исходная версия thesis, :

Блин. Много букв, читал по диагонали.

Слияние файла корневого сертификата и файла со списком отозванных сертификатов в один

За-чем? Я именно этого не могу понять. Почему нельзя держать црл отдельным файлом? Я без наезда, просто искренне недоумеваю.

Ну будет их 100 шт. и что это изменит?

Насчет ста штук - это мне приглючилось, что ты клиентские сертификаты с црлами тоже сливаешь. Глюк уже прошел, но было поздно.
И все таки - ЗАЧЕМ сливать СА с црлами? В чем удобство того, что вместо «обновить и закинуть на радиус црл» ты делаешь «обновить, слить воедино, закинуть на радиус црл+СА, рестартануть радиус»? Тем более, на венде црл все равно будет валяться отдельно от СА.

Вопрос: как добиться такого же «счастья» если я подписываю сертификат клиента не корневым ключом, а, например, серверным?

CA это CA, а сертификат сервиса - это сертификат сервиса. Не надо давать сертификату сервиса право на подписывание. Не хочешь подписывать клиентов Root'ом - сгенери подчиненный CA.

не уверен, что если спросить кратко, то будет понятна суть вопроса

Все равно непонятна, да еще и читать лень. Давай сокращать уже.