[Ru_ngi] Варианты развития центра GRID аутентификации.
Eygene Ryabinkin
rea at grid.kiae.ru
Tue May 17 12:29:48 MSK 2022
Всем доброго дня.
Tue, May 17, 2022 at 10:18:57AM +0300, Andrey Kiryanov wrote:
> Раз уж пошла речь про будущие функции CA, хотя бы теоретически, у меня есть
> насущный вопрос:
>
> [вступление] У нас активно используется FreeIPA для управления
> пользователями, узлами, аутентификацией, правами доступа и т.д. Она умеет
> пользователям и узлам выдавать сертификаты X.509. Обычно она это делает,
> генеря свой собственный корневой CA, но ей можно подсунуть и промежуточный.
>
> [сам вопрос] рассматривался ли когда-либо и в принципе возможен ли выпуск в
> рамках RDIG CA промежуточных CA (хотя бы для внутри НИЦ КИ и ОИЯИ, где есть
> военные по периметру ;), которые можно было бы использовать для локальной
> автоматизации без необходимости обращения к внешним CA? Фактически, это тот
> же сертификат, только с флагом "CA:TRUE", и при возникновении вопросов его
> так же можно отозвать через CRL, отозвав при этом и всё то, что им
> подписано, без ущерба для других.
Да, я об этом думал. Ситуация такова:
- этот ход требует переписывания политик УЦ: если мы начинаем говорить
о промежуточных CA не для целей Грид, то появляется часть выдаваемых
УЦ сертификатов, которая не связана политиками EUGridPMA, но остаётся
часть связанная ими;
- такое разделение с моей точки зрения необходимо, чтобы разделить
уровни доверия: я не готов (по-крайней мере, пока) отвечать за то,
что делает IPA (которая в рамках, скажем, части ресурсов на площади
Академика Курчатова тоже есть), имея возможность выступать
в качестве промежуточного CA;
- а вот если промежуточный CA заниматся либо локальной деятельностью
(в рамках своих ресурсов-пользователей), либо входит в какую-то
коллаборацию, которая согласна с тем (и проверяет, допустим),
как работает IPA (или что угодно другое), как работаю её операторы,
администраторы и прочие заинтересованные -- так и классно.
Технически, это, полагаю, завязано не только на появление промежуточных
CA, но и на OCSP (у корневого УЦ): кажется, IPA и многие современные
клиенты X.509 его достаточно сильно уважает. Настолько, что можно выпилить,
но лучше сделать OCSP: когда клиенты IPA OCSP хотят (а CRL -- не могут уже,
видал и таких я), то им можно показать, конечно, и промежуточный OCSP
самой IPA, только есть вопрос "а как клиенты узнают (если CRL -- не их
вариант вообще) об отзыве сертификата промежуточного УЦ"?
Насчёт отзыва сертификата промежуточного УЦ через CRL/OCSP: технически --
проблемы нету. Операционно -- нужно выстаивать, ибо тут же все
выпущенные сертификаты "обнуляются" (что хорошо для одних, но,
вероятно, не хорошо для структуры, которая от сертификатов этих
как-то зависит). Но спроектировав и прописав процедуру реакции
на такое, оценив время переподписывания существующих сертификатов
этого промежуточного УЦ и их ввод в эксплуатацию вместо "обнулённых" --
можно жить. Этот процесс, кажется, называется переписыванием
Конституции. Готов попробовать: другие ж делают (слыхал я),
а я чего?
--
Eygene Ryabinkin, National Research Centre "Kurchatov Institute"
Always code as if the guy who ends up maintaining your code will be
a violent psychopath who knows where you live.
More information about the Ru_ngi
mailing list