On Sun, 16 Jan 2005 23:04:52 +0100
Davide Bolcioni <db_erlug@xxxxxxxx> wrote:
> Produrre un certificato a partire da una richiesta consiste nel
> "firmare" la richiesta usando la chiave di una Certification
> Authority, abbreviata CA, quindi per produrre un certificato ti
> serve la CA.
wop. Pensavo che una CA fosse sostanzialmente una coppia di chiavi.
> Spiego il meccanismo per capire il motivo: quando il browser
OK fino a qua c'ero... mi sfuggiva dal punto di vista "pratico" il
fatto che bisognasse mettere in piedi una CA.
> Quindi se si vuole un sito sicuro cui chiunque nel mondo possa
> accedere occorre un certificato che sia presente in tutti i browser,
> ovvero uno firmato da Verisign o equivalente che si fanno pagare per
> il disturbo.
Uso interno.
Curiosamente però... e probabilmente c'è il sistema per girarci
attorno, quando ho dovuto generare i certificati per IMAPS, non ho
avuto bisogno della CA.
http://portal.suse.com/sdb/en/2003/05/imap_ssl.html
Infatti ho provato a fare:
openssl req -in certreq.txt -out cert.key -nodes
openssl req -x509 -in certreq.txt -out cert.key -nodes
senza nessun successo
Adesso vista la dritta su PEM e DER ho provato varie combinazioni di:
openssl req -new [-x509] [-nodes] -out iis.der -keyout iis.der -days
365 -outform DER|PEM -inform DER|PEM -keyform DER|PEM
senza risultato
> C'è inoltre un problema addizionale: al di là dei meccanismi di
> firma, i certificati X.509 sono "property bags", nel senso che hanno
> ma ancora una volta il CNAME va in CN e il canonico in
> subjectAltName, viceversa, oppure bisogna evitare subjectAltName
> perchè non tutti lo prevedono (p. es. Mozilla Mail 1.4 non lo
> prevede per imaps, che è stato lo scenario concreto che mi ha edotto
> di quanto sopra). Quando i client sono diversi e ognuno ha una
> fisima diversa, il gioco si fa rapidamente fastidioso.
uh curioso... ho usato KMail, sylpheed e mutt per connettermi da fuori
alla mia macchina interna via IMAPS.
Ho brutalmente scopiazzato cosa dovevo fare dalla KB di SUSE.
Non ho dovuto inserire nessun dato "informatico" (FQDN, IP, whatever)
se non un indirizzo di posta elettronica e altre info *farlocche*.
Questa esperienza mi ha portato a pensare che... bhe... rifaccio
uguale per IIS. Purtroppo NO. Quindi pensavo fosse qualche arcano
motivo riguardante qualche fisima di IIS.
Ho guardato questo:
http://support.microsoft.com/kb/q232137/
e ciccia... non gli piaciono i certificati generati via openssl.
Guardando tra i vari menu, dovrebbe digerire sia PEM che DER.
Ho trovato questo e adesso provo con openssl su Linux
http://www.dylanbeattie.net/docs/openssl_iis_ssl_howto.html
Da quel che ho capito nel provare, il processo si aspetta di avere una
CA da qualche parte e fallisce.
Probabilmente devo:
a) seguire più alla lettera usando il file di cfg proposto
b) crearmi una CA con CA.pl che però non ho installato (credo faccia
parte di perl-OpenCA-* in SUSE. Se non dovesse ho anche 2 Debian alla
bisogna.
Adesso è tardi... se ho nuove ti informo.
--
Ivan Sergio Borgonovo
http://www.webthatworks.it
|