LINUX.ORG.RU
ФорумSecurity

Кросс-сертификация своего СА

 ,


1

2

Имеется небольшой web-сервер, с поддержкой ssl со своими CA и пользовательскими сертификатами. Далее уже сервер на основе предоставленных пользовательских сертификатов - дает конкретный доступ.
Хочу получить сертификат через другой CA ( к примеру Let's Encrypt ), но чтобы при этом сервер мог так же принимать клиентские сертификаты от внутреннего СА и нормально их обрабатывать.
Если я правильно понимаю то для этого предусмотрена процедура кросс-сертификации. Поддерживает ли этот момент Let's Encrypt ?
Может кто с этим сталкивался?

★★★★★
AppArmor, Gentoo и Python
Уязвимость, позволяющая локально выполнить произвольный код с помощью флешки

Скорее всего не поддерживает.
Если верить списку внедрению новых фич (https://letsencrypt.org/upcoming-features/), такого еще не внедряли. Wildcard сертификаты только собираются прикручивать в конце февраля.

duck
()

Я тут погуглил, кросс-сертификация это не совсем то, о чем ты говоришь.
Вот тут написано чуток другое.
Объясните мне тоже.

dada ★★★★★
()

Нет, LE не поддерживает суб-сертификацию. И afaik никогда не будет.

beastie ★★★★★
()

Уже принимает, если не трогать настройки *CаCert*(какие они в том сервере есть)

DonkeyHot ★★★★★
()

но чтобы при этом сервер мог так же принимать клиентские сертификаты от внутреннего СА

сервер будет доверять любому сертификату при наличии CA. То же самое касается и клиента, есть СА в списке довереных - сертификат принимается, если нет СА - SSL_ERROR.

а Кросс-сертификация своего СА это как раз то, почему работает Let's Encrypt. Их CA подписан DST Root CA X3 который в свою очередь считается таким, которому можно доверять.

ukr_unix_user ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
AppArmor, Gentoo и Python
Security
Уязвимость, позволяющая локально выполнить произвольный код с помощью флешки