2011/9/5 Dumitru Ciobarcianu <dumitru.ciobarci...@ines.ro> > On 05-Sep-11 10:26 PM, Catalin Muresan wrote: > > Din cite am observat (adica un client a facut research, ii trebuia un > > certificat emis direct de un Root CA si nu a gasit) toate Root CA-urile > emit > > certificatele printr-un Intermediate CA emis de un alt Root CA, motivele > au > > fost de securitate, ca sa nu aiba probleme in a-si compromite Root CA-ul, > > daca se compromite IntCA-ul, se revoca si se emite altul. > > > > Da, acesta este "standard practice". > Se genereaza Root Key dupa care se genereaza CA Key care se semneaza cu > Root Key dupa care device-ul pe care s-a generat Root Key este oprit > (fizic) si se pune in seif. (da, gluma cu cel mai sigur firewall este > cand jucaria este oprita si pusa in seif nu este chiar o gluma). > > Sunt curios de ce avea nevoie de un certificat semnat cu Root Key... >
ma refeream ca un certificat de la rapidssl e semnat de un IntCA RapidSSL care e semnat la rindul lui de GeoTrust si cu acest IntCA iti semneaza RapidSSL certificatul. Dece aveam nevoie de un cert semnat cu RootCA Cert ? pentru ca Openfire (jabber server) nu stia sa-mi importe certificatul emis de RapidSSL pentru ca depindea de un IntCA care nu il stia. Pina la urma am rezolvat dar nu din interfata web, a fost nevoie de cmdline magic. Nu ma asteptam sa fie asa de greu sa obtii asa ceva, pentru ca acum citiva ani (1-2-3) toate certificatele erau asa, semante de RootCA, de ex: --- Certificate chain 0 s:/serialNumber=XXXXXXXXXXXXXXXXXX/C=US/O= www.XXXXXXXXXXX.com/OU=XXXXXXXXX/OU=See www.rapidssl.com/resources/cps(c)10/OU=Domain Control Validated - RapidSSL(R)/CN= www.fast-free-email.com i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority --- un certificat semnat prin int_ca arata asa: --- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority --- atita timp cit root_ca-ul si int_ca-ul sunt cunoscute totul e ok, dar daca clientul nu are int_ca in db, trebuie sa i-l trimiti tu inband si de ex la apache se face asa: SSLCertificateChainFile /etc/pki/tls/certs/RapidSSL_CA.pem dar sunt altele care nu suporta si nu stiu daca sa concatenezi crt-ul site-ului si crt-ul int_ca-ului ajuta. > > Cioby > > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
