Сетевые средства Debian/X.509: различия между версиями
Содержимое удалено Содержимое добавлено
м Ivan Shmakov переименовал страницу Сервер на Debian GNU/Linux/X.509 в Сетевые средства Debian/X.509: Согласно [[Викиучебник:К переименованию/Октябрь 2014#Се… |
Шаблоны через {{Book name}}; ведущие пробелы вместо <pre />; {{lang|}}; s/.cdyne.example.com/.cdyne.example/; →К переименованию: снят шаблон после переименования. |
||
Строка 1:
Сертификаты [[w:X.509|X.509]] могут быть
использованы для создания цифровой
Строка 21 ⟶ 19 :
Пара ключей, необходимая для работы алгоритмов шифрования с открытым ключом, лежащих в основе возможностей, предоставляемых сертификатом X.509, может быть создана любым желающим использовать последний для удостоверения подлинности соединения.
С другой стороны, привязка конкретного открытого (опубликованного) ключа к личности его владельца требует участия третьей стороны, называемой [[w:Центр сертификации|удостоверяющим центром]] (англ. {{lang |en|certification authority, CA}}), открытый ключ которого общеизвестен. Кроме того, предполагается, что владельцы соответствующего закрытого ключа соблюдают особый регламент и ни при каких обстоятельствах не будут использовать данный ключ чтобы скомпрометировать некую третью сторону.
Как правило, удостоверяющие центры предоставляют свои услуги на платной основе. Одним из исключений является центр [[w:en:CAcert|CAcert,]] корневой сертификат которого включен в [[w:Debian|Debian]] по-умолчанию.
Строка 29 ⟶ 27 :
Для создания пары (открытый ключ, секретный ключ), можно использовать опцию <code>--generate-privkey</code> команды certtool(1), например:
<!-- -->
Получить информацию о ключе можно благодаря опции <code>--key-info</code> той же команды:
<!-- -->
Отметим, что созданный файл секретного ключа (<code>myx509.key</code>) содержит также и полный набор данных, составляющих открытый ключ.
Строка 45 ⟶ 41 :
Получаемый запрос на подпись сертификата содержит ряд полей (каноническое имя удостоверяемой стороны, страна и регион, название организации, и другие), которые удобно внести в файл-шаблон для последующего многократного использования. В случае ''клиентского'' сертификата, содержимое файла может быть подобным:
<!-- -->
organization = "CDyne Systems"
unit = "Network task force"
country = "US"
state = "California"
locality = "Fremont"
cn = "J. Random Hacker"
uid = "jrh"
## X.509 v3 extensions
email = "jrh@example.com"
tls_www_client
signing_key
Создание серверного сертификата отличается, главным образом, использованием поля <code>cn</code> для указания основного полного доменного имени системы (и, возможно, полей <code>dns_name</code> для указания любого количества полных доменных имен, включая и основное), а также использованием флага <code>tls_www_server</code> вместо <code>tls_www_client</code>. Например:
<!-- -->
organization = "CDyne Systems"
unit = "Network task force"
country = "US"
state = "California"
locality = "Fremont"
cn = "niovoi.cdyne.example
## X.509 v3 extensions
dns_name = "niovoi.cdyne.example
dns_name = "www.niovoi.cdyne.example
dns_name = "dyson.example.net"
email = "jrh@example.com"
tls_www_server
Предполагая, что один из шаблонов выше внесен в файл <code>cert.cfg</code>, запрос на подпись можно создать следующей командой:
<!-- -->
--load-privkey myx509.key --outfile myx509.csr </kbd>
Содержимое файла-запроса <code>myx509.csr</code> может быть теперь передано удостоверяющему центру.
Строка 91 ⟶ 84 :
== См. также ==
* [https://CAcert.org/ CAcert]
* {{
* {{
{{BookCat}}
| |||