welcome: please sign in
location: PkiArch

PKI 架构

cacert.org 证书

cacert.org 是一个免费的 CA 机构。他使用邮件域来验证你是否持有某一个域名(做法就是向你的邮件域的 postmaster 发送一个验证码,如果能收到就认为你持有此域名)。

因为 TUNA 的邮件域已经可用,xiaq 申请了一系列的 cacert.org 证书。从这里来看,默认信赖 cacert.org 根证书的发行版还是不少的,因此未来会逐渐地弃用土制 CA,全部改用 cacert.org 的证书。

TLS 服务列表

根证书

如果你的发行版或浏览器尚不支持 cacert.org 证书,你可以在这里下载。

土制 CA

使用自己土制的 CA 私钥和 证书 [1] ,并用它签了一个 *.tuna.tsinghua.edu.cn服务器用证书。CA 的私钥目前只保存在 xiaq 自己的笔记本里面; server.crt 的私钥在需要提供 TLS 服务的机器上均有保存,存放在 /etc/ssl/tuna/server.key (OpenSSL 私钥) and/or /etc/ssl/tuna/server.key.gnutls (GnuTLS 私钥),并设置了较严格的权限。

TLS 服务列表

安装 CA 证书

安装证书表示你信任 TUNA CA。TUNA CA 不提供任何担保。


CategoryArch

PkiArch (2012-09-16 11:16:12由alick编辑)