Jó Certificate Signing Request (CSR) prezentációt keresek

Eredeti poszt:
http://hup.hu/node/150166#comment-2032748

Gondoltam bedobom blog-ba, hátha több ember olvassa.
---------------------

Van CSR boncoló / alapozó (megosztható publikusan) leírásod/prezentációja bárkinek aki olvassa ezt?
Megmagyarázom.

Legfrisebb élmény, h. 1 aplliance-en generáltattam CSR-t. A kimenetet elküldtem aláírásra egy privát CA üzemeltetőjének. Az a válasz jött vissza, h. ők már nem engedélyezik az SHA1 használatát, csak az SHA256-ot. Az én CSR-em meg SHA1-et tartalmaz, legyek szíves újat generálni, de mostmár SHA256-al. Elkezdtem vakarni a fejem, h. ez az egész aktuális SHA1-->SHA256 átállás mizéria az IT világban miről is szól pontosan? Egy CSR-be mi is kerül bele pontosan? Ezek közül a CA miket is ellenőriz le, miket változtathat meg kénye szerint mielőtt aláírná? Pl. a CA saját jogkörben határozza meg legjobb tudomásom szerint, h. a cert-ben az aláírást milyen algoritmussal hash-eli (alias "signature hash algorithm"). Azaz ha a CA-ban a kiindulási feltételezés szerint az SHA256 van beállítva, akkor az én CSR-em lehet bármilyen, csakis 1 féle válaszfájlt (valójában a válaszfájl A nagybetűs tanúsítvány maga) adhat rá a CA: SHA256 "signature-hashed"-et. Az viszont igaz, h. a CSR-t openssl-el analizálva SHA1 szerepel signature hash algoritmus helyen. De ez almát-körtével összahasonlítás esete: az az SHA1-es hash csak a CSR hitelesítésére szolgál a CA felé, h. út közben nem manipulálta senki a CSR-t. Az IT ipar SHA256-ra történő migrációs mozgalmának célja a VÉGLEGES aláírt tanúsítvány Signature hash algoritmusát akarja SHA256-ra tenni, nem a köztes CSR fájlt!

Na én ezt próbálnám helyrerakni a fejekben, ha lenne róla vmi jó, lehetőleg MSFT PKI-n alapuló színes-szagos powerpoint (vmi nevesebb PKI guru előadásából), ami kiemeli h. az egyik SHA1 meg a másik SHA256 az két teljesen különböző dologra való!

Gugli sok kókler indiai blogot kidob PKI témában, de azokról süt h. még ők se értik az ok-okozat közötti összefüggést. Általában csak kijött vmi ordas hülyeség végén nekik a jó eredmény véletlenül, gyorsan aláhúzták 2x, magyarázat semmi oszt csókolom! Na ezért keresek pedagógiailag is korrekt prezentációt.

Átkozottul nehéz az egyszeri IT-s embernek megérteni ezt a gyakorlati PKI-t, mert nincs róla jó könyv, amit a halandók is megértenek! Az elmúlt 5-6 évben ami könyvet találtam a témáról, az 2 kategóriába esett:
1) a Brian Komar féle Microsoft PKI on Windows Server 2008 és a 2) kismillió Public Key Infrastructure design Plan stb. típusú könyvek.

Az 1) egy pár oldalas összecsapott, minden pedegógiát nélkülöző gyorstalpaló után már a CA adatbázisfájl szerkezetét elemzi, az egyszeri IT ember meg csak pislog h. ez mi a f@sz-ról beszél itt?
A 2) típusúak meg 100 oldalakon keresztül lamentálgatnak azon, h. mit is jelent az h Public meg Key de főleg mit az Infrastructure. Végigszenveded a 600 oldalt, és 1 szo nem volt benne SHA1-ról.
Az optimális 3) alternatívát meg még senki nem ült neki megírni.

( ekzsolt | 2016. 10. 26., sze – 09:08 )

Szerintem a témában Ivan Ristić "Bulletproof SSL and TLS" és "OpenSSL Cookbook" könyvei a legjobbak. Utóbbi ingyenes. Lásd itt.