abbra | Как нашли Badlock

You're viewing

abbra's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

После насыщенного бессонными ночами и напряженной работой месяца, мы выпустили обновления Samba для закрытия дыр Badlock. Я написал статью в блог Red Hat Enterprise Linux, где рассказываю о том, что это такое и как его открыли.

Flat | Top-Level Comments Only

From:

techquisitor.livejournal.com

Смотрите какая ситуация. Есть развёрнутый FreeIPA и некая машинка в нём зарегестрированная. Также на этой машине сгенерён CRL, который FeeIPA прекрасно скушал и выполнил Issue, сгенерив в ответ валидный мнениню IPA сертификат. А теперь вопрос, какой тип сертификата там генерируется? Ничего внятного я по теме не нашёл или проглядел. Вроде похож на X.509, но нет полей BEGIN CERIFICATE/END CERTIFICATE и при попытке проверить этот сертификат с помощью openssl мне выдаётся сообщение об ошибке unable to load certificate. И если это не x.509, то как вытащить этот сертификат в X.509, чтобы FreeIPA выступал полноценным CA. Ведь по идее, всё это этого внутри есть. Там же Dogtag унутре.

From:

abbra

Все сертификаты -- x.509.

У команд user-show, host-show, service-show есть опция --out, которая сохраняет файл с сертификатом локально в формате PEM.

 ipa user-show username --out=my.crt
--------------------------------------
Certificate(s) stored in file 'my.crt'
--------------------------------------
.... [вырезано] ...
$ file my.crt
my.crt: PEM certificate
$ openssl x509 -in my.crt -issuer -fingerprint -noout
issuer= /O=EXAMPLE.COM/CN=Certificate Authority
SHA1 Fingerprint=XX:XX:XX:XX:XX....:XX:XX

From:

techquisitor.livejournal.com

Ага, всё-таки X.509. Благодарю, попробую тогда ещё разок разобраться.

И на будущее небольшая просьба, если можно. Всё-таки явно в веб-интерфейсе FreeIPA укажите, что это таки X.509. Мелочь вроде, но может сэкономить много времени, когда надо будет конвертировать сертификаты из одного формата другой для различного софта. Будет ясно, с чего начинать и облегчит работу техподдержке той же, например.

Второе пожелание — сделать возможность выгрузки PEM из UI. Избавит от необходимости давать доступ к шеллу для генерации файла в PEM. Надеюсь, в следующих версиях FreeIPA реализуете. Заранее благодарю. :)

From:

abbra

Вы -- первый, кто поставил вопрос таким образом. Ни у кого еще не возникало проблем с тем, какие это сертификаты. Но если хочется большей однозначности, то было бы неплохо заполнить такой запрос -- либо на https://fedorahosted.org/freeipa/report, либо в https://bugzilla.redhat.com.