Удостоверяющий центр
Этот модуль позволяет управлять SSL-сертификатами, используемыми для
обеспечения безопасных соединений между сетевыми узлами. Типичный пример:
веб-браузер обращается к веб-серверу и при этом необходимо передавать
конфиденциальные данные (например, вводить пароли для доступа к разделам
сайта и т.п.). В этой ситуации важно, чтоб участвующие в передаче данных
стороны могли:
- быть уверенными в подлинности другой стороны;
- иметь возможность шифровать передаваемые данные.
Обе эти возможности обеспечиваются использованием сертификатов.
Предназначение сертификата сервера сродни роли документа, удостоверяющего
личность, например, паспорта. Паспорт должен однозначно идентифицировать
человека и гарантировать то, что он тот, за кого себя выдаёт. Так и
сертификат однозначно подтверждает подлинность сервера. Сертификат, как и
паспорт, содержит всю необходимую для подтверждения подлинности информацию о
самом сервере. В обоих случаях есть третья сторона, которая, собственно, и
выступает в роли гаранта подлинности. Для паспорта это подпись паспортного
отдела. Для сертификата — Удостоверяющий центр (УЦ), который
поставил свою электронную подпись и, таким образом, подтвердил
подлинность сертификата.
Для обеспечения безопасности соединения для клиента (в качестве
клиентского ПО может выступать, например, веб-браузер) самым главным является
вопрос о принятии сертификата. При принятии сертификата возможны следующие
варианты:
- Сертификат сервера подписан одним из известных клиенту УЦ
- В этом случае сертификат принимается и устанавливается безопасное
SSL-соединение. Обычно клиентское ПО (например, веб-браузер) содержит список
наиболее известных УЦ и предоставляет возможность управления
(добавление/удаление) сертификатами таких УЦ.
- Сертификат сервера подписан УЦ, неизвестным клиенту
- В этом случае придётся самостоятельно решить вопрос о принятии такого
сертификата:
- вы можете временно (на время одной сессии) принять сертификат
сервера;
- вы можете принять сертификат сервера на постоянной основе;
- если вы доверяете УЦ, подписавшему сертификат, вы можете добавить
сертификат самого УЦ к списку известных сертификатов. В
дальнейшем все сертификаты, подписанные этим УЦ, будут приниматься
автоматически.
- Сертификат сервера является самоподписанным
- Это случай, когда сертификат сервера не подтверждён вообще никакой
третьей стороной. Такие сертификаты тоже широко используются, например, в
локальных сетях, где вы самостоятельно можете проверить аутентичность
сервера. В случае самоподписанных сертификатов вы должны самостоятельно
убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это
можно, например, сверив отпечатки полученного сертификата и
реально находящегося на сервере.
Управление сертификатами
Возможности управления сертификатами:
- ежедневное обновление подписей сертификатов, используемых локальными
службами и службами подчинённых серверов;
- подпись произвольного сертификата (запроса на подпись) Удостоверяющим
центром, настроенным в Управление УЦ;
- просмотр состояния и подпись локальных сертификатов и сертификатов
подчинённых серверов.
Управление УЦ
Вы можете:
- пpосмотреть информацию о сертификате вашего УЦ;
- выгрузить для дальнейшего использования сертификат вашего УЦ
(ca-root.pem). Например, этот файл можно будет добавить к списку УЦ,
используемому клиентским ПО, после чего все сертификаты, подписанные данным
УЦ будут приниматься автоматически;
- выгрузить для дальнейшего использования запрос на подпись вашего УЦ
(ca-root.csr). Это может понадобиться, если вы пожелаете подписать
сертификат вашего УЦ каким-то сторонним УЦ;
- перегенерировать сертификат УЦ с другими параметрами. Можно изменить
параметры сертификата: Страна (С), Организация (O).