Сервер сертификатов

[Walery]

Появилась необходимость поставить свой сервер сертификатов, хотел использовать то, что есть в OES (в данный момент стоит OES Linux, но насколько я понимаю, это не так уж важно), но после прочтения документации встал вопрос - а кто-то вообще использует Novell Certificate Server или лучше пользоваться чем-то другим?
Вроде все расписано хорошо, но я так и не нашел нормального пользовательского интерфейса - т.е. для администратора все нормально, но экспортировать свой секретный ключ может только сам пользователь, в документации указано: "Зайдите под этим пользователем в Novell Certificate Console либо в С1 и экспортируйте сертификат с секретным ключем". Novell Certificate Console я так и не нашел, судя по всему оно распостранялось, когда Novell Certificate Server был отдельным продуктом, а заставлять пользователей заходить в С1...

Собственно вопрос: есть ли нормальный интерфейс для пользователя, чтобы можно было бы с минимумом телодвижений экспортировать свой секретный ключ и в случае надобности сертификаты других пользователей?

[Dimerson]

imanager ?

[Walery]

imanager ?

Для обычных пользователей?

Кроме того, что нужно будет всем раздать соответствующие роли, насчет простоты у меня большие сомнения - для экспорта своего ключа вход в "Администрирование eDirectory"->"Изменение обьекта"->и т.д. не совсем интуитивно понятно

[Andrey Karyagin]

1. Не надо путать сертификат и приватный ключ. Приватный ключ действительно может экспортировать только его владелец, иначе он уже не будет приватным. А сертификат (и открытый ключ!) при наличии минимальных прав может экспортировать практически любой пользователь. Делается это в iManager через закладки Novell Certificate Access -> User Certificates, если конечно установлен plugin Novell Certificate Server.
2. При некотором воображении можно написать свой plugin и экспортировать сертификаты как угодно, в том числе и в формате PKCS#12, т.е. вместе с приватным ключом. Но при этом неизбежно переопределение(сброс) пользовательского пароля, т.к. перед операцией экспорта plugin выполняет функцию NPKIDSLogin() от имени пользователя, сертификат которого хочется экспортировать. Т.е. пароль пользователя в этот момент должен быть либо известен, либо переопределен. Если он переопределен, то пользователь после этой процедуры уже не сможет войти в сеть! И еще при экспорте надо позаботиться о пароле, которым защищается собственно файл PKCS#12. Все это не проблема, если объект пользователя описывает не живого человека, а какую-нибудь железку, которая нуждается в PKCS#12. Так было у меня в одном недавнем проекте, где надо выпускать PKCS#12 для устройств типа POS терминалов, которые в свою очередь взаимодействуют с неким хостом через продукт Novell iChain, выполняя взаимную SSL аутентификацию на базе цифровых сертификатов. В этом случае самопальный plugin решил задачу на ура!

[Walery]

1. Не надо путать сертификат и приватный ключ. Приватный ключ действительно может экспортировать только его владелец, иначе он уже не будет приватным. А сертификат (и открытый ключ!) при наличии минимальных прав может экспортировать практически любой пользователь. Делается это в iManager через закладки Novell Certificate Access -> User Certificates, если конечно установлен plugin Novell Certificate Server.

Я уже писал - для админа это труда не составит, пользователям придется давать дополнительные роли, для доступа к Novell Certificate Access и еще обьяснять, как экспортировать свой ключ или чьи-то сертификаты, поэтому я и спрашиваю - нет ли простого интерфейса для пользователя, позволяющего скачивать свой ключ и чужие сертификаты без лишних телодвижений, желательно через web?

2. При некотором воображении можно написать свой plugin и экспортировать сертификаты как угодно...

А нельзя ли эти же ключи и сертификаты получить через LDAP, естественно при наличии логина/пароля пользователя? В крайнем случае я бы и сам что-то подходящее написал бы.

[Andrey Karyagin]

1. Объяснять в любом случае что-то придется. iManager на мой взгляд и есть тот самый web интерфейс. Куда уж проще? В моем случае все свелось к кнопке Create & Export Certificate. И к выбору одного или нескольких объектов в eDirectory.
2. PKCS#12 принципиально нельзя получить через LDAP, и пароли здесь не помогут. При некотором воображении можно получить только открытый ключ.