[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [openssl-gost] PKI + ГОСТ
В Tue, 7 Mar 2023 17:11:05 +0300
Александр Поволоцкий <tarkhil@over.ru> пишет:
> Добрый вечер!
>
> Вот встала передо мной задача - PKI на ГОСТовских алгоритмах.
>
> Эту задачу можно решить с существующим OpenSSL (если да, то какой
> версии?), или нужно допиливать, или проще свое сделать?
>
Можно. Любой версии, в которой есть ГОСТ-овская engine. Хоть открытая,
хоть чья-нибудь проприетарная (их штуки три я знал десять лет назад, с
тех пор может еще какие появились).
Там есть ряд несколько необычных расширений сертификата, которые надо
не забывать прописывать для соответсвия стандартам, но возможности
openssl описанных в man x509v3_config для этого вполне хватает.
По моему опыту openssl ca, которая хранит базу сертификатов в файловой
системе, а индекс - в текстовом файле, способна на более-менее
современных машинах потянуть ну как минимум десятки тысяч сертификатов
(более 65536 у нас точно скапливалось в ходе автатизированных тестов,
serial-ы которые не влезали в два байта точно были).
--
Victor Wagner <vitus@wagner.pp.ru>