на главнуюВсе эхи RU.CRYPT
войти ?

Re: Ограничить X.509 сертификат

От Victor Sudakov (2:5020/400) к "Serguei E. Leontiev"

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)

From: Victor Sudakov <vas@mpeks.tomsk.su>

Serguei E. Leontiev wrote:
> VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
 > VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
 > VS> подписанный доморощенным CA.
 > VS>
 > VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
 > VS> одной стороны, браузер не ругался при обращении к gks.ru и его
 > VS> поддоменам,
Прежде всего спасибо за обстоятельный ответ.

> Hа счёт поддоменов, это не от тебя зависит, а от сертификата.
Я имел в виду, что если данный CA выдал сертификат сайту в домене
gks.ru, то доверять этому CA, а иначе - нет.

Вот кстати сертификат этого доморощенного CA:
http://tmsk.gks.ru/files/CSTomskstat.crt

> VS> но с другой стороны, не верить данному CA, если он
> Если УЦ не веришь, то не стоит его устанавливать в доверенное
 > хранилище корневых сертификатов.
Я совершенно согласен, но не нашел другого способа, как и куда его
централизованно установить, чтобы у пользователей браузеры не ругались
на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.

> VS> попробует выдать сертификат например на paypal.com. Это вообще
 > VS> возможно?
[dd]
> 2. У MS есть локальная политика, которая позволяет
 > устанавливать сертификат сервера в "Trusted People"
 > (естественно без доверия к УЦ выпустившего этот
 > сертификат), а так же есть CTL (Certificate Trust List);
 > 3. У FireFox есть "исключения", как аналог локальной политики;
Да, механизм исключений как в FireFox тут очень хорошо подходит,
потому что исключение запоминается для сертификата сайта, а не
сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
доменных политик можно централизованно установить сертификат в Trusted
People. Есть только возможность установить в хранилище root CA.
Редактор GPO не дает выбрать другое хранилище:


--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.4
 * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=<1187448696@relay.tomsk.ru>+36d7b3b3