tag:blogger.com,1999:blog-4428473564097379725.post2074454479084941041..comments2024-03-14T06:42:34.180+05:00Comments on Ещё один блог сисадмина: OpenSSL: Ручная проверка сертификата по CRLmorbohttp://www.blogger.com/profile/16650057587203469226noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-4428473564097379725.post-41645690501089027142017-04-08T13:30:25.535+05:002017-04-08T13:30:25.535+05:00>смысл тогда вообще в CDP если предлогается CRL...>смысл тогда вообще в CDP если предлогается CRL на каждый сервер выкладывать?<br /><br />А вы документацию почитайте на сервер, которым собираетесь пользоваться. Большинство серверов только из локальных файлов умеет брать CRL. Вот, например, описана настройка CRL на сервере OpenVPN:<br /><br />http://mdex-nn.ru/page/blokirovka-sertifikat-openvpn.html<br /><br />Там для обновления CRL используется скрипт revoke-full. Подобным же образом это делается и в случае других серверов - почтовых серверов, веб-серверов и т.п.<br /><br />В общем случае библиотека SSL не содержит в себе HTTP-клиента, который мог бы учесть все нюансы: наличие HTTP-прокси, SOCKS-прокси, состояние коммутируемого подключения и команду для его установления, адреса DNS-серверов и т.п.<br /><br />В веб-клиентах типа браузеров это реализуется самым естественным образом, т.к. доступ в веб необходим для нормальной работы браузера и в веб-браузере уже есть все необходимые настройки для доступа в веб.<br /><br />В других клиентах, таких как почтовые клиенты, обычно есть настройки, с помощью которых можно указать используемый веб-прокси и т.п. Но почтовый клиент может работать и без доступа в веб, поэтому веб-клиент в него встраивают специально и отдельно в какое-нибудь меню выносят его настройки.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-63636880946757120812017-04-07T09:15:29.186+05:002017-04-07T09:15:29.186+05:00смысл тогда вообще в CDP если предлогается CRL на ...смысл тогда вообще в CDP если предлогается CRL на каждый сервер выкладывать?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-51586355407332873412017-04-06T21:56:46.082+05:002017-04-06T21:56:46.082+05:00Если вы отозвали сертификат клиента, то проверьте,...Если вы отозвали сертификат клиента, то проверьте, что у сервера есть свежий список отозванных сертификатов. Если вы отобрали сертификат у вашего сервера, то клиентов вы проконтролировать не можете и никто, по сути, вам не гарантирует, что клиент тут же перестанет доверять серверу.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-90037849134712652092017-04-06T10:05:39.011+05:002017-04-06T10:05:39.011+05:00суть не в том как преобразовать выше указанный мех...суть не в том как преобразовать выше указанный механизм проверки, а как проверить работу CDP?<br /><br />Я разобрал относительно большой объём информации по этому поводу, но тем не менее у меня возникает вопрос как убедиться что система отозванных сертификатов действительно будет у меня работать и как она вообще в целом работает.<br /><br />Если в сертификате есть расширение CDP, то программы перед работой с сертификатом ВСЕГДА В ОБЯЗАТЕЛЬНОМ ПОРЯДКЕ будут пытаться скачать CRL? Если у них не вдруг получиться (например ресурс не работает) они будут считать сертификат не действительным?<br /><br />Вот создал я сертификат, отозвал его, создал список CRL и выложил его на ресурсе, который указан в CDP и к которому проверил доступ через браузер. Хотелось бы провести проверку при которой я буду уверен, что я всё сделал правильно, что CRL лежит в должном виде, нужном месте и программы будут проверять CRL перед работой с сертификатом? То есть хотелось бы знать возможность проверить сертификат так как будто это делает одна из программ перед работой с ним.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-55069430095883630712017-04-05T19:04:40.732+05:002017-04-05T19:04:40.732+05:00Попробуйте написать скрипт.Попробуйте написать скрипт.morbohttps://www.blogger.com/profile/16650057587203469226noreply@blogger.comtag:blogger.com,1999:blog-4428473564097379725.post-13854072340093651432017-04-05T16:29:21.301+05:002017-04-05T16:29:21.301+05:00Это проверка локально, то есть подсунуть ему и CA_...Это проверка локально, то есть подсунуть ему и CA_crt.pem и CRL.pem, но как организовать проверку, чтобы CRL он сам закачивал из CDP который указан в сертификате?Anonymousnoreply@blogger.com