Исходное сообщение
"SSL Аутификация + Apache" Отправлено .zZz., 10-Авг-05 09:06
>Добрый день! >Во первых непонятно зачем импортировать Root сертификат в клиентские сертификаты при наличии >одноуровневой CA. Хотя возможно Вы не так выразились:) >Схема реализации в принципе такова: >Генерите самоподписанный корневой сертификат УЦ,затем генерите запрос на выдачу сертификата и подписываете >его корневым сертификатом Вашего УЦ,правите конфиги Apache'а и все. Этот путь >подробно описан в документации на OpenSSL (найти ее можно и на >opennet.ru и на openssl.org) >Если Вам необходим централизованный интерфейс управления Вашим УЦ то возможно стоит сходить >на https://sf.net и поискать там по ключевому слову PKI - там >найдется достаточное количество продуктов основанных на OpenSSL имеющих административный интерфейс и >реализующих все необходимые Вам функции. >СУВЖ Кирилл Насколько я понял, проблема не в защите транспорта (при Вашей схеме), а в аутинтефикации пользователей на стороне апача по клиентским сертификатам. И это ещё не самое ужасное (т.к. про это также написано в документации к mod_ssl)... Основная задача - прозрачно для пользователя выдавать ему на основании каких-либо действий на страничке (заполнении формы регистрации) клиентский сертификат, подписанный CA (этим же CA подписывается серверный сертификат апача). Это в свою очередь подразумевает также прозрачную для пользователя установку свежеполученного сертификата в хранилище сертификатов на клиентской машине. Вот как это сделать? ;)