LINUX.ORG.RU
ФорумTalks

Сертификаты, сертификационные центры и прочее прочее прочее...

 


1

1

Что почитать дабы понять как работают все эти сертификаты, центры сертификации и т.д. что-бы потом применять на практике(например делать нормальный openvpn/sstp/https)? Про асимметричное шифрование и цифровую подпись в курсах, интересуют именно сертификаты: где и как генерировать, что чем подписывать, что куда раскидывать(на сервер, на клиенты)?

Deleted

Что почитать дабы понять как работают все эти сертификаты, центры сертификации

Public key infrastructure on Linux HOWTO.

что-бы потом применять на практике(например делать нормальный openvpn/sstp/https)?

Если для личного пользования, то можно сразу переходить к поиску руководства по использованию сертов Let's Encrypt с нужным сервисом.

Deleted
()
Ответ на: комментарий от Deleted

Если для личного пользования, то можно сразу переходить к поиску руководства по использованию сертов Let's Encrypt с нужным сервисом.

Ок поищу, не знал что его можно куда-то помимо https пихать. Но меня больше интересует самоподписная инфраструктура с sa и подобным.

Deleted
()

У OpenVPN есть простой туториал как нагенерить сертификатов с помощью easy-rsa

morse ★★★★★
()

Если коротко: самоподписанные сертификаты - бессмысленны. Несамоподписанные сертификаты можно взять, как уже сказали, у Let's Encrypt. Прикрутить можно ко всему что может использовать TLS, в частности: https, smtp, imap, sftp/ftps, openvpn, sstp и т.д.

Deleted
()
Ответ на: комментарий от morse

например у меня mikrotik, там есть встроенный генератор сертификатов, на wiki в принципе все кнопочки расписаны. но без понимания теории для меня эти описания ничего не значат...да в целом можно генерировать через easy-rsa и раскидывать по девайсам, но там ведь и другие процессы есть например отзыв сертификатов и пр.

Deleted
()
Ответ на: комментарий от Deleted

самоподписанные сертификаты - бессмысленны.

почему бессмысленны? если я сделаю https с самоподписным сертификатом(для своих целей), то смогу им пользоваться, да браузер ругнется, но шифрование ведь никуда не уйдет. ну да может быть mitm, но для таких целей есть cert patrole, который заорет что хеш не совпадает.

Deleted
()
Ответ на: комментарий от Deleted

Слушай, ты сначала прочти гайд, а потом уже решай насколько он бесполезен.

morse ★★★★★
()
Ответ на: комментарий от Deleted

Если MITM - это для тебя нормально, то почему бы сразу не открытым текстом всё слать? Если тебе исключительно для себя - то да, пойдёт - сам себя добавишь в список доверенных.

Deleted
()
Ответ на: комментарий от Deleted

Самоподписной серт, на андроиде например, открываться не будет - там есть хранилице доверенных сертов и такой-то гемор добавить что-то еще. Возможно еще где-то есть похожая проблема - будет больше проблем, чем пользы. Let's Encrypt дает бесплатный серт со сроком хранения несколько месяцев, но есть куча мануалов, как автоматизировать обновление серта, например с помощью cron, с таким-то периодом.
Есть ресурс для проверки все ли правильно собрано - https://www.ssllabs.com/ssltest/
Так же есть смысл ознакомиться с тематической страничкой в википедии https://ru.wikipedia.org/wiki/SSL

redwagon
()
Ответ на: комментарий от redwagon

Самоподписной серт, на андроиде например, открываться не будет - там есть хранилице доверенных сертов и такой-то гемор добавить что-то еще.

Бред. Начиная с 4 версии свой CA добавеляется через меню и без рута.

o-
()
Ответ на: комментарий от o-

Да, но тебе придется это делать с каждым телефоном что бы открыть сайт. Это ли не геморрой?

redwagon
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks