openvpn корневой сертификат и файл Diffie-Hellman

0

1

Ребят. Разбираюсь с OpenVPN и не могу понять. 1. Для чего нужен корневой сертификат и в чем его отличие от сертификата сервера. 2. Что это за файл .pem? и зачем он нужен?

Заранее благодарен!

Ссылка

←	Антивирус в Linux

Утечка информации из /etc/hostname наружу

→

1. Сертификат сервера должен быть подписан корневым, либо сертификатом, который подписан корневым и т.д.

segfault ★★★★★
(12.08.11 11:46:25 MSK)

корневой сертификат подписывает сертификаты сервера(или серверов) и клиента(клиентов). Это центр иерархии сертификатов, потеря его компрометирует всю систему. Потеря сертификата сервера компрометирует только данный сервер...

Pinkbyte ★★★★★
(12.08.11 15:54:06 MSK)

Ссылка

Ответ на: комментарий от segfault 12.08.11 11:46:25 MSK

Спасибо большое!

mokokorod3
(12.08.11 17:29:17 MSK) автор топика

Ответ на: комментарий от mokokorod3 12.08.11 17:29:17 MSK

Ребят. А где можно почитать теорию про сертификаты и ключи. То есть как происходит обмен зашифрованной информации etc. Просто в сети много манов как и чего настроить, но практически нет инфы по теории того, что настраивается. Сделать все сделал, а вот что сделал до конца не догоняю. Заранее Благодарен!

mokokorod3
(12.08.11 17:30:59 MSK) автор топика

Ответ на: комментарий от mokokorod3 12.08.11 17:30:59 MSK

> А где можно почитать теорию про сертификаты и ключи.

В общих чертах есть и на википедии: http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA...

Жизненный цикл сертификата вас вряд ли интересует, по структуре сертификатов можно погуглить стандарт x.509, что есть цифровая подпись и какие задачи решает - также, на википедии расписано в популярной форме.

segfault ★★★★★
(12.08.11 18:07:55 MSK)

Ссылка

Разбираюсь с OpenVPN и не могу понять.

Эти вопросы не по openvpn. Бегло покури понятия PKI и SSL.

Что это за файл .pem? и зачем он нужен?

Это текстовый файл в формате pem. Контейнер. Пригоден для хранения секретных ключей (BEGIN RSA PRIVATE KEY), сертификатов к ключам (BEGIN CERTIFICATE), модуля DH, и др. Формат был разработан для возможности однозначного вычисления цифровой подписи ключа на любых платформах и некоторых других целей.

Обмен ключами по DH (по Диффи-Хеллману-Мерклю) нужен для так называемой perfect forward secrecy, т.е. если враг получил ключи расшифровки, то он всё равно не сможет расшифровать перехваченный траффик, ибо сессионные ключи DH нигде не сохраняются.

Для чего нужен корневой сертификат?

Центр сертификации - это точка отсчета в рамках иерархии PKI SSL. Этому центру всегда полностью доверяют обе стороны, которые хотят установить безопасное соединение. Это доверенный центр. Подпись центра сертификации на сертификате (т.е. публичном ключе) стороны - это гарантия того, что сертификат васи на самом деле васин, а не чей-то подставной.

В реальных случаях сертификаты доверенных CA поставляются с ОС/браузером, а секретный ключ CA (это который файл с заголовком BEGIN RSA PRIVATE KEY) хранится в глубинах центра сертификации в сейфе на специальном Hardware Crypto Device, т.е. исключая возможность считать и спереть этот ключ.

shahid ★★★★★
(18.08.11 14:44:40 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Антивирус в Linux

Security

Утечка информации из /etc/hostname наружу

→

Похожие темы