-
Notifications
You must be signed in to change notification settings - Fork 0
Stas Ukolov edited this page Oct 6, 2017
·
9 revisions
Собственная инфраструктура работы с открытыми ключами (PKI: Public Key Infrastructure) была в целом уже создана.
Ранее она использовалась для всех целей, то есть:
- Создания сертификатов Веб-, почтовых и прочих серверов
- Создания пользовательских сертификатов (преимущественно для ЭЦП в СЭД "Директум")
Серверные сертификаты теперь генерируются при помощи Let's Encrypt, поэтому собственная PKI в основном занимается поддержанием пользовательских сертификатов.
Собственная PKI работает на сервере ekb.ru
.
Создан пользователь uxm-ca
,
вся работа может выполняться только с его правами
(su - uxm-ca
).
ПО PKI располагается в директории /home/uxmCA
и имеет одну точку входа /home/uxmCA/CA.pl
.
Вся информация хранится в БД SQLite в файле /home/uxmCA/db/pub/pub.db
,
секретные ключи хранятся в БД /home/uxmCA/db/sec/sec.db
.
Доступен Web-интерфейс просмотра содержимого БД PKI.
- Работа PKI была делегирована отдельному пользователю в целях безопасности
- Повышен минимальный размер ключа:
- 2048 бит для клиентских сертификатов
- 3096 бит для служебных сертификатов
- Алгоритм подписи изменён с устаревшего
SHA1
наSHA256