CA 和证书管理的网站开发 #5
Comments
|
我建议用html5相关的技术
|
|
后端是啥? 这个网站好像没有后端吧? |
|
就是服务吕d端的处理程序啊,比如php脚本 |
|
服务器端就是个脚本吧,调用 openssl 签名一下。不过这样自动操作会不会导致 CA 太烂签发了? |
|
本身申请签发证书是需要做的事情有(最基本的流程): 2 用户自己生成证书申请文件csr 3 将csr文件以及用户名上传 因此, 由于用户不需要提供自己的私钥, 因此对用户是安全的, 由于公钥是可以公开的,因此服务器会保存一份证书,方便用户切换client端的时候可以再次下载。 |
|
服务端还是需要一些东西来处理的,不会只有个脚本 |
|
用啥技术制作网站 这个不需要在这里讨论吧 把要做什么讨论好就行了 |
|
我觉得 CA 也得分等级。可能我们不得不放弃 openssl 的签名机制。 openssl 可以用多个 CA 对同一个证书签名么? |
|
csr首先是只有一个 ca签名应该都是针对 csr文件的, 这样多个ca签名会生成多个crt证书文件 |
|
我希望就是有账户信任等级机制。 就是有的帐号只是电子邮件被验证了, 而有的帐号啊, CA 进行了实名认证。 这样就需要有2个 CA, 一个 ca 只签发普通证书,另一个签发实名认证的。类似 web ssl 里 EV 证书。 但是我希望用户是可以平滑升级,也就是不需要更改密钥。 |
|
还有,除了 CA , 用户也应该可以对其他用户的证书进行分布式的签名认证。 这样就需要一个证书可以附带多个 ca 的签名 |
|
对于账户信用升级的问题, 是没有问题的 这样要求client端可以链接我们的服务端进行证书的升级工作, 这样用户做的工作是比较少的 至于你说的第二个问题,你的问题是希望这一个证书可以作为多个网站的登录凭证对吧, 一个证书携带多个ca的签名, 这个具体能否实现以及如何实现需确认 |
|
似乎 openssl 生成的证书确实不能携带多个 ca 签名 |
|
@microcai |
|
whyb, 基本是这样的 |
|
@microcai |
|
whyb, 依据之前的讨论, Email与av地址是一一对应而又独立的。Email进行ca验证,而账户是AV地址来界定的。 希望能说清楚了。 |
|
@microcai |
|
router 不读取 user 表,只要证书对,他就承认这个用户,无需读取数据库 |
|
这里强调一下。 avim 里,用户管理是 CA 的任务。而且 avrouter 是完全不会接触用户数据的。它只承认证书,只要证书对,就接受。 这个和通常意义的 IM 里,负责通信的服务器需要访问数据库以授权用户相比,先进的多。而且数据库不会成为线上服务器的通信瓶颈。因此 avrouer 是自成一体的,和 CA 之间的沟通渠道就是一张证书。 |
|
对,CA管理应该是独立于项目外的。好像有开源的CA中心管理系统 |
avim 需要使用证书认证用户,所以注册用户其实就是让我们的 CA 颁发证书。
那么我们的 CA 肯定需要有一个易用的 WEB 来和那么多用户沟通。
用户需要在页面上填写 个人信息和生成的公钥(可以让 avim 客户端生成,也可以用 openssl)
然后用户提交申请。
管理员审核后,签发客户端证书。
另外还需要验证电子邮件, 有必要的话要上传证件照片之类的。。。
The text was updated successfully, but these errors were encountered: