Задать вопрос
CityCat4

Кот Абсолютный

Жил да был черный кот за углом...
Ответы пользователя по тегу OpenSSL

  • Как изменить запрос на сертификат?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Жил да был черный кот за углом...
    В клиентских запросах нет атрибутов политик применения. Они появляются в сертификате после его выпуска. Если СА Ваш - используйте нужный шаблон или создайте новый, в котором будет указано нужное число политик.
    CSR содержит практически только данные для Subject, которые вписываются в сертификат.
    Вот его примерное содержание:
    Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=RU, ST=*** region, L=***, O=*** Ltd, OU=***, CN=***/emailAddress=certmgr@***.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                ...
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name: 
                email:certmgr@***.ru, URI:http://***.ru
    Signature Algorithm: sha256WithRSAEncryption


    Там где звездочки понятно будут другие данные, может вообще не быть
    Ответ написан
    2 комментария
    2 комментария

  • Сколько будет стоить уязвимость?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Жил да был черный кот за углом...
    Гуглу может и получится загнать - если это конечно реально ценная уязвимость. А прочие - придут и сами забесплатно заберут
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить ssl на Linux?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Жил да был черный кот за углом...
    Выпустить его заново в том СA, где получали. Если самоподписанный или выпущен в корпоративном CA - выпустить заново.
    Перевести сертификат в читаемый вид можно командой:
    # openssl x509 -in файл_сертификата -noout -text | less

    либо если хочется в файле сохранить:
    # openssl x509 -in файл_сертификата -out файл_текстовый -text
    Ответ написан
    3 комментария
    3 комментария

  • Как работать с OpenSSL?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Жил да был черный кот за углом...
    Оригинальной документации на OpenSSL на русском никогда не было и скорее всего и не будет, есть только переводы. Для того чтобы понять, как он работает нужно учиться читать литературу на языке оригинала. Собственно говоря, функция OpenSSL в поднятии https состоит только в том, чтобы сам сертификата сгенерить, как его подключить к серверу - это уже маны на апач (ну или на чем там у Вас сервер) читать.
    Впрочем могу одну книжку порекомендовать - Построение защищенных корпоративных сетей Там есть и про сертификаты, и про апач
    Ответ написан
    Комментировать
    Комментировать

  • Как создать собственный CA на основе Wildcard-сертификата?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Жил да был черный кот за углом...
    Нет.

    wildcard-сертификат - это всего лишь wildcard-сертификат, который подтверждает некоторое количество поддоменов того домена, на который он выдан. Он не дает права выдавать сертификаты.

    Вам либо покупать сертификат на каждый, либо поднять свой УЦ и поставить всем сертификат своего УЦ в качестве корневого.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить подчиненный центр сертификации Windows AD, если корневой центр сертификации на Linux openssl (easyrsa)?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Жил да был черный кот за углом...
    Насчет easyrsa ничего не скажу, но сертификат УЦ должен иметь специальный признак того, что это сертификат УЦ. Желание создать УЦ, потом выпустить суб-УЦ и уже от его имени выдавать сертификаты в винде в принципе имеет место быть. Когда в сети есть винда и не-винда, есть например микротики, d-link-и еще какие-то устройства... Пользователям опять же проще генерить сертификаты на openssl. Но это если понимать что делать - там не нужна будет никакая easyrsa.
    Если же нужна просто служба сертификатов для винды - то не занимайтесь вытягиванием себя из болота за волосы - запускайте службу и пусть она сама сгенерит корневой сертификат УЦ. Правда, сразу нужно учесть, что без дополнительного шаблона PKCS#12 для пользователя никак не свернуть - можно получить только сертификат заполненный данными на основе AD и только на одном компе.
    Для выпуска же сертификата УЦ средствами openssl в openssl.cnf должна быть секция

    [ v3_ca ]
    basicConstraints = CA:true

    и при выпуске сертификата с указанием этой секции в качестве расширения он становится сертификатом УЦ.
    Ответ написан
    1 комментарий
    1 комментарий