rutest: к сожалению, не работал с easy-rsa. Судя по всему, easy-rsa представляет собой надстройку над openssl. Вероятно, вы сможете генерировать сертификаты коммандой openssl, с указанием расширения CRL Distribution Point. Тогда можно следовать ответу на этот вопрос: stackoverflow.com/questions/11966123/howto-create-...
Вообще, это не очень-то удобно - работать с сертификатами из командной строки. Лучше иметь нормальный интерфейс. Иметь возможность быстро определить статус сертификата, отозвать его.
Могу посоветовать opensource PKI с удобным веб-интерфейсом: retrust.me
Проект активно развивается и предоставляет очень неплохие возможности для управления сертификатами.
Если нужна будет помощь по нему или одному из указанных выше PKI - обращайтесь.
rutest: если вы делаете УЦ, то, наверно, используете какой-то PKI. Я работал с несколькими разными PKI, в т.ч. Microsoft CA, OpenTrust PKI, neXus CA. Какой софт используете вы для подписи открытых ключей?
Про CRL важно заметить, что URL, по которому доступен CRL должен быть указан в сертификате пользователя и при проверке сертификата на отзыв, проверяющая сторона будет искать CRL именно там.
Все-таки Ubuntu - это не веб сервер, а операционная система. Какой веб сервер вы используете?
Сертификат для сайта выдан корневым доверенным УЦ или внутренним?
Есть аутентификация пользователей сайта по сертификатам?
Что и как вы делаете, чтобы получить ошибку? Опишите подробнее, какая ошибка?
Желательно поправить сам вопрос с информацией, которую я спрашиваю. Иначе вам вряд ли кто-то поможет.
Вы правы. Ошибка должна указывать на то, что сертификат не соответствует серверу. Но я и не говорю, что ваша проблема исключительно из-за этого. Я только написал, что если сервер imap.mysitename.ru, то и сертификат должен соответствовать.
Пришлите содержимое сертификата, а лучше url вашего сервера, тогда будет о чем говорить.
Если URL сервера, к которому происходит подключение imap.mysitename.ru, то, конечно, получать сертификат надо на него.
Содержимое сертификата - содержимое файла mysitename.ru.crt.
А что говорит Outlook? Он то должен использовать системное хранилище сертификатов, а, следовательно, если сертификат принимается в IE, то должен приниматься в Outlook.
Можете выложить содержимое сертификата, который вы получили от WoSign?
udereg: Для того, чтобы удостовериться, что с просьбой подписать ключ обращается не злоумышленник, нужна идентификация и аутентификация. Желательно лично либо используйте методы строгой аутентификации.
Serg T.: Сниферы не умеют расшифровывать TLS трафик, если им специально не указать ключи шифрования. Это точно.
Теперь дальше:
Данные об IP адресе, с которым идет соединение все-равно будут доступны в сниффере. Так же можно будет найти в трафике и url сервера, так как DNS запрос не шифруется. Таким образом спрятать IP/имя_сервера у вас не получится. А вот спрятать весь трафик между клиентом и сервером можно. И это делает TLS. То есть, если злоумышленник уже знает формат запросов (и вы не планируете менять его), то продолжить формировать запросы он все-равно сможет, даже если вы смените IP/имя_сервера.
Наверное, будет проще, если вы опишите подробнее, ваш стенд: где находится сниффер, какие действия вы производите, что именно вы видите из того, что по вашему мнению должно быть зашифровано и т.д.
