Skip to content
Stas Ukolov edited this page Oct 6, 2017 · 9 revisions

Собственный центр сертификации (CA)

Собственная инфраструктура работы с открытыми ключами (PKI: Public Key Infrastructure) была в целом уже создана.

Ранее она использовалась для всех целей, то есть:

  • Создания сертификатов Веб-, почтовых и прочих серверов
  • Создания пользовательских сертификатов (преимущественно для ЭЦП в СЭД "Директум")

Серверные сертификаты теперь генерируются при помощи Let's Encrypt, поэтому собственная PKI в основном занимается поддержанием пользовательских сертификатов.

Общая информация

Собственная PKI работает на сервере ekb.ru.

Создан пользователь uxm-ca, вся работа может выполняться только с его правами (su - uxm-ca).

ПО PKI располагается в директории /home/uxmCA и имеет одну точку входа /home/uxmCA/CA.pl.

Вся информация хранится в БД SQLite в файле /home/uxmCA/db/pub/pub.db, секретные ключи хранятся в БД /home/uxmCA/db/sec/sec.db.

Доступен Web-интерфейс просмотра содержимого БД PKI.

Внесённые изменения

  • Работа PKI была делегирована отдельному пользователю в целях безопасности
  • Повышен минимальный размер ключа:
    • 2048 бит для клиентских сертификатов
    • 3096 бит для служебных сертификатов
  • Алгоритм подписи изменён с устаревшего SHA1 на SHA256
Clone this wiki locally