Распространение СА среди клиентов
После создания СА любой сертификат, подписанный вашим СА, будет вызывать доверие в любой программе, доверяющей вашему СА Для установления этого доверия необходимо распространить СА-сертификат во все программы, которые должны доверять ему. Это могут быть почтовый клиент, установки IPsec либо web-браузер. Поскольку SSL использует криптографию с открытым ключом, нет необходимости держать публичный ключ в секрете. Его можно просто установить на web-сервере и загрузить всем клиентам по открытому HTTP. Так как инструкции по установке СА-сертификата различаются для каждой программы, далее мы рассмотрим быстрый и простой способ установки СА на web-браузеры. Существует два формата, в которых браузеры могут воспринимать новые сертификаты: реm и der. Сертификаты der можно сгенерировать из существующего реm с помощью одной openssl-команды:
$ openssl х509 -in demoCA/cacertpem -outform DER -out cacert.der
Также добавьте в файл conf/mime.types сервера Apache следующую строку:
application/x-x509-ca-cert der pem crt
Теперь, для того чтобы изменения вступили в силу, перезагрузите Apache. Сейчас можно поместить оба файла, cacert.der и demoCA/cacert.pem, на web-сервер, и клиенты смогут установить новый сертификат, просто щелкнув на ссылке.
Ранние версии Netscape воспринимали только pem-формат, а в свежих версиях воспринимаются оба. В Internet Explorer все как раз наоборот: ранние версии воспринимали только der-формат, новые — оба. Остальные браузеры обычно воспринимают по одному формату.
При загрузке нового СА в браузер появится диалоговое окно, уточняющее, хотите ли вы продолжить. Все, что необходимо сделать, — это подтвердить принятие сертификата. Теперь SSL-сертификат, подписанный вашим СА, будет восприниматься без предупреждения пользователя.
Учтите, что СА воспринимается непросто. Если в браузере вы приняли новый СА, лучше доверять ему полностью — вредоносный менеджер СА мог бы подписать все типы сертификатов, которым вы не доверяете, но браузер никогда не пожалуется (поскольку вы потребовали дшеряэт» импортируемым СА). Будьте очень осторожны с теми, кто расширяет доверие при использовании SSL-браузеров. Лучше проверить СА-кэш браузера, чтобы уточнить, кому определено доверие по умолчанию.
Например, вы слышали о том, что AOL/Time Wamer имеет свой собственный СА? A GTE? Или VISA? СА-сертификаты всех этих компаний (и многих других) поставляются с версией Netscape 7.0 для Linux и все они являются доверенными полномочиями для web-сайта, электронной почты и надстроек приложений по умолчанию. Учитывайте это при посещении SSL-сайтов: если полномочия по умолчанию подписали сетевое содержание, то ваш браузер будет доверять им, не запрашивая подтверждения у оператора. Если вы цените безопасность браузера (и безопасность всей клиентской машины), то возьмите за правило просматривать отношения доверительных СА