Systémy - CAcert Testserver

Hardware

test.cacert.org

"Starý" testserver. Přesto je dnes považován za důležitější testovací systém, neboť jeho instalace je úplnější a "bližší" provoznímu serveru.

Podrobněji zde.

test3.cacert.org

test3 je nový (pravděpodobně dočasný) virtuální stroj, primárně k testování migrace na PHP 7. Vzhledem k nedostatku dostupných adres IPv4 je nutné použít alternativní porty:

ToDo: TestMgr pro test3???

Nastavení

Kořenový certifikát Class 1

Prostředí testserveru samozřejmě používá vlastní kořenový a mezilehlý certifikát. Certifikáty serverů pro testovací servery (a případně testovací programy správy) tradičně vydávají samotné testovací kořeny. Prosíme, neimportujte ani nedávejte důvěru testovacím kořenům v softwaru/prohlížečích, které se používají i pro "reálný svět"!.

Je žádoucí, abyste pro testování používali jiný účet nebo profil prohlížeče. Pokud to není možné nebo proveditelné, je vhodné použít bezpečnostní výjimky. Ty je samozřejmě nutné pravidelně aktualizovat při vydávání nových certifikátů pro servery.

Databáze certifikačních autorit ("index.txt") se tradičně používají znovu i po změně kořenového certifikátu (certifikátů). V některých případech bylo zvýšeno další vydané sériové číslo ("serial"), pravděpodobně za účelem testování delších sériových čísel.

Obsah a omezení

Zprostředkující certifikát Class 3: obsah a omezení

Většina věcí je shodná s kořenovým certifikátem, proto jsou zde uvedeny pouze rozdíly.

Bude pokračovat...

Zkušenosti z roku 2021 při vytváření nové sady kořenových certifikátů

Certifikáty byly vytvořeny pomocí přiloženého skriptu NewTestserverRoots se dvěma konfiguračními soubory testserver-root.cnf a testserver-class3.cnf. Podadresář tempCA skutečně obsahoval kopii "databázových souborů" (index.txt, index.txt.attr a serial) z adresáře /etc/ssl/CA. Tato kopie sloužila k experimentování, po "skutečném" spuštění byly vytvořené (a upravené!) soubory ručně zkopírovány zpět do adresáře /etc/ssl/CA.

Vytvořený kořenový adresář třídy 3 byl ručně přejmenován a poté zkopírován do adresáře /etc/ssl/class3/.

Další aktivity:

Prostředí podepisujícího serveru

server.pl

Úkolem podepisujícího serveru je podepisovat certifikáty a podobné věci, jako jsou seznamy CRL. Soukromé klíče pro kořenové certifikáty jsou uloženy pouze na podepisujícím serveru.

V produkčním prostředí je podepisujícím serverem jiný počítač, který není připojen k žádné síti typu LAN 2. Je připojen pomocí sériového připojení USB k hlavnímu počítači webového serveru. Na této sériové lince je spuštěn speciální protokol, aby webserver mohl odesílat podepisovacímu serveru požadavky, na které podepisovací server odpovídá odesláním vytvořených certifikátů.

V testovacím prostředí je podepisovací server obvykle emulován jako jiný proces, který komunikuje s částí webového serveru pomocí rour<<Poznámka pod čarou(Zde je třeba uvést další podrobnosti!)>>.

Proces podepisování běží ve vlastním adresáři umístěném na adrese /home/signer. Samotný skript signneru se nachází v adresáři /home/signer/cacert-devel/CommModule/server.pl. Přistupuje ke konfiguračním souborům OpenSSL z adresáře /etc/ssl/.

V konfiguračním souboru pro kořenový certifikát se pro data certifikační autority (včetně soukromého klíče) používá adresář /etc/ssl/CA a pro zprostředkující kořenový certifikát adresář /etc/ssl/class3. (ToDo: Co je to konfigurace class3s, která ukazuje na adresář /etc/ssl/class3s? Tento adresář se na testovacím serveru nenachází...)

client.pl

klient.pl běží ve vlastním procesu na pozadí a zpracovává následující úlohy:

Chybí něco?

Pokud dojde k úpravě souboru client.pl, musí být proces na pozadí restartován, než se změny projeví. Vyhledejte proces  /usr/bin/perl -w /home/cacert/www/CommModule/client.pl  a ukončete jej (kill). Měl by být okamžitě restartován démonem  /home/cacert/www/CommModule/commdaemon .

Poznámky pod čarou

  1. ToDo: V jakých situacích je sériové číslo kořenového certifikátu důležité/kritické? (1)

  2. alespoň takový je stav v polovině roku 2021 (2)

  3. ... a nahrané soubory CSR ... (3)


Software/Assessment/testserver/CZ (last edited 2022-05-24 18:55:24 by AlesKastner)