[Ru_ngi] Варианты развития центра GRID аутентификации.

[Eygene Ryabinkin]

Всем доброго дня.

Tue, May 17, 2022 at 10:18:57AM +0300, Andrey Kiryanov wrote:
> Раз уж пошла речь про будущие функции CA, хотя бы теоретически, у меня есть
> насущный вопрос:
> 
> [вступление] У нас активно используется FreeIPA для управления
> пользователями, узлами, аутентификацией, правами доступа и т.д. Она умеет
> пользователям и узлам выдавать сертификаты X.509. Обычно она это делает,
> генеря свой собственный корневой CA, но ей можно подсунуть и промежуточный.
> 
> [сам вопрос] рассматривался ли когда-либо и в принципе возможен ли выпуск в
> рамках RDIG CA промежуточных CA (хотя бы для внутри НИЦ КИ и ОИЯИ, где есть
> военные по периметру ;), которые можно было бы использовать для локальной
> автоматизации без необходимости обращения к внешним CA? Фактически, это тот
> же сертификат, только с флагом "CA:TRUE", и при возникновении вопросов его
> так же можно отозвать через CRL, отозвав при этом и всё то, что им
> подписано, без ущерба для других.

Да, я об этом думал.  Ситуация такова:

 - этот ход требует переписывания политик УЦ: если мы начинаем говорить
   о промежуточных CA не для целей Грид, то появляется часть выдаваемых
   УЦ сертификатов, которая не связана политиками EUGridPMA, но остаётся
   часть связанная ими;

 - такое разделение с моей точки зрения необходимо, чтобы разделить
   уровни доверия: я не готов (по-крайней мере, пока) отвечать за то,
   что делает IPA (которая в рамках, скажем, части ресурсов на площади
   Академика Курчатова тоже есть), имея возможность выступать
   в качестве промежуточного CA;

 - а вот если промежуточный CA заниматся либо локальной деятельностью
   (в рамках своих ресурсов-пользователей), либо входит в какую-то
   коллаборацию, которая согласна с тем (и проверяет, допустим),
   как работает IPA (или что угодно другое), как работаю её операторы,
   администраторы и прочие заинтересованные -- так и классно.

Технически, это, полагаю, завязано не только на появление промежуточных
CA, но и на OCSP (у корневого УЦ): кажется, IPA и многие современные
клиенты X.509 его достаточно сильно уважает.  Настолько, что можно выпилить,
но лучше сделать OCSP: когда клиенты IPA OCSP хотят (а CRL -- не могут уже,
видал и таких я), то им можно показать, конечно, и промежуточный OCSP
самой IPA, только есть вопрос "а как клиенты узнают (если CRL -- не их
вариант вообще) об отзыве сертификата промежуточного УЦ"?


Насчёт отзыва сертификата промежуточного УЦ через CRL/OCSP: технически --
проблемы нету.  Операционно -- нужно выстаивать, ибо тут же все
выпущенные сертификаты "обнуляются" (что хорошо для одних, но,
вероятно, не хорошо для структуры, которая от сертификатов этих
как-то зависит).  Но спроектировав и прописав процедуру реакции
на такое, оценив время переподписывания существующих сертификатов
этого промежуточного УЦ и их ввод в эксплуатацию вместо "обнулённых" --
можно жить.  Этот процесс, кажется, называется переписыванием
Конституции.  Готов попробовать: другие ж делают (слыхал я),
а я чего?
-- 
Eygene Ryabinkin, National Research Centre "Kurchatov Institute"

Always code as if the guy who ends up maintaining your code will be
a violent psychopath who knows where you live.