От Root CA до User Authorization в nginx+apache. Часть 2. Отзыв сертификатов, CRL и OCSP
DidenkoMS 1 минуту назад От Root CA до User Authorization в nginx+apache. Часть 2. Отзыв сертификатов, CRL и OCSP Средний 70 мин 4 Криптография * Информационная безопасность * Туториал Продолжение первой части, где мы...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Значимый прорыв формирует отрасль ИИ: DidenkoMS 1 минуту назад От Root CA до User Authorization в nginx+apache. Отзыв сертификатов, CRL и OCSP Средний 70 мин 4 Криптография * Информационная безопасность * Туториал Продолжение первой части, где мы развернули двухуровневую инфраструктуру: Root CA и три промежуточных центра — Person, Server и Code. В конце первой части я обещал, что мы научимся отзывать сертификаты и поднимем OCSP.
Как и первая часть, статья задумана как подробное пособие: по каждой команде и расширению, которые мы используем, приведён расширенный справочник по используемым и смежным параметрам — с синтаксисом, допустимыми значениями, значениями по умолчанию и подводными камнями. Если какой-то ключ вам сейчас не нужен — пролистайте таблицу; она здесь, чтобы потом не лезть в man. Структура каждого раздела одинакова: сначала рабочие команды для типового случая, затем — справочник по всем параметрам.
Технические детали
Проверялось на версиях. Имена флагов, значения по умолчанию и синтаксис расширений сверены с официальной документацией OpenSSL master, а также nginx и Apache mod_ssl. OpenSSL живёт по веткам: то, что помечено как «OpenSSL 4.
0 / master» (например, квалификатор nonss у authorityKeyIdentifier), в стабильных 3. Если у вас OpenSSL 3. 6 — сверяйте спорные опции командой openssl --help или в man своей версии, прежде чем копировать конфиг.
Числовые коды ошибок openssl verify старше 40 тоже менялись между ветками — проверяйте их по заголовку своей версии. В этой части:Чем отозванный сертификат отличается от просроченного и зачем тут два механизма — CRL и OCSP. Добавляем в конфиги точки распространения (CDP) и AIA, чтобы выпускаемые сертификаты сами «говорили», где их проверять.
Отраслевые последствия
Отзываем сертификат и работаем с базой CA. Генерируем CRL и разбираем его командой openssl crl. Проверяем отзыв через openssl verify.
Поднимаем OCSP-responder: выпускаем для него сертификат, запускаем демон, проверяем статус. Публикуем CRL и OCSP по HTTP (nginx), настраиваем OCSP stapling и проверку отзыва на стороне веб-сервера. Все пути, имена файлов и секции конфигов — те же, что в Части 1.
Где вы называли что-то иначе — подставьте свои значения. Немного теории: CRL vs OCSPСрок действия (notAfter) и отзыв — разные вещи. Сертификат может быть действующим по датам, но при этом скомпрометированным: уволился сотрудник, утёк приватный ключ, сменилась организация.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
