Portál AbcLinuxu, 14. května 2024 03:03


Dotaz: thunderbird a ssl - skusenosti?

5.7.2004 16:12 rastos | skóre: 62 | blog: rastos
thunderbird a ssl - skusenosti?
Přečteno: 163×
Odpovědět | Admin
Hral som sa doma s Thunderbirdom a ssl. Skusal som si vytvorit vlastnu CA, vyrobit si a nastavit vlastny certifikat podpisany touto CA a vyrobit a nastavit certifikat pre fiktivneho priatela - a nejak sa mi nedari.

Mozno som nezvladol filozofiu, ale vzdy sa vyskytne nejaky hlupy zadrhel. Po importe vlastneho certifikatu mi zmizne CA, alebo po OK v okne pre vyber 'Other people' certifikatov sa tento certifikat neimportne ani nedostanem ziadnu hlasku o chybe. Dokonca sa mi stalo, ze po importe priatelovho certifikatu sa u CA zobrazilo ine meno a podobne. To vsetko sa deje s aktualnymi verziami openssl (0.9.7d) a thunderbirdu (0.7). Ak sa niekto ozve, ze mu to chodi, tak sa pridam konkretne prikazy.

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

5.7.2004 17:35 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: thunderbird a ssl - skusenosti?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ahoj,
Presne, nepochopil si filozofiu. Robi to brajgl proto, protoze se ti nejak povede nacitat blby certifikat (pravdepodobne x509), ktery thunderbird zaradi do casti s CA.
Funguje to nejak takto: vyrobis x509 certifikat. Ten je podepsan sam sebou a je to koren, proste CA. TU importujes jako CA. Potom dalsi vyrabis jako certificate request, ten si podepises CAckem a udelas z neho plcs12. Tu importujes do mozilly, pritel taky. Pokud chces aby s tebou pritel komunikoval proste mu poslel podepsany mail, oba mate stejne CA takze ti bude verit a z meilu vyziska tvuj klic (posila se i s podpisem...) nebo mu poslels jen .pem. Jinak k prikazum:

# vytvori zadost o certifikat, client.cnf
# je nejaky konfigurak, sem uz linej ho sem dopisovat ponecham na vlastni kreativite
openssl req -new -days 365 -sha1 -config client.cnf -out newreq.pem -keyout key.pem
#vytvori se klic - schovat!!! a zadost kterou poslels CAcku

# CAcko to podepise treba skriptem z openssl...
./CA.sh -sign newreq.pem
# vyrobi newcert.pem - samotny certifikat, lze treba poslat pratelum, CA ti ho posle spatky

# mno ted z toho brajglu ktery ti posle CA a klice udelas
# takovy pochybny nesmysl ktery se pak importuje
# treba do mozilly.
openssl pkcs12 -inkey key.pem -in newcert.pem -out neco.p12 -export
No to je zhruba vse, Ted mas jak certifikat s verejnym klicem, ktery muzes treba predat ostatnim, ale vetsinou se to nedela, tak soukromy klic ktery sam o sobe muze byt uzitecny pri hrani s openssl nebo jako zaloha, tak pkcs12 brajgl ktery se da nacpat treba do mozilly, treba do tokenu... kam co nacpat a naklikat uz je docela intuitivni na zbytek uz prijdes nebo se proklikas... Co se tyce slozitosti, tuny zbytecnych protokolu a nezvyklym navrhem ve srovnani treba s pgp, muzes zkusit reklamovat u RSA :-). Ale kupodivu se to obcas i pouziva.
-djz
"Yield to temptation; it may not pass your way again." -- R. A. Heinlein

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.