好,既然無論如何都要加 PKI,那就硬幹看看。OpenCA 我們已經知道可以用來建立 CA 了,至於要怎麼用還不清楚。這裡有份 Live CD 的說明文件,可以下載 Live CD 直接以光碟開機啟動。
我不知道 X.509 憑證裡面寫了啥,不過如果真的只需要公鑰跟私鑰,他創一個這麼大的檔案要幹嘛?如果真的有辦法只取出公私鑰塞入 Tag,這樣不就變成單純的 RSA 機制?那 CA 的驗證等等還有用嗎?但這個機制避掉了 Tag 空間不夠,只存必要資訊的方法。(話說也沒人這樣做過?我們算先驅?)
另一種方法則是將憑證檔案也存放到 Server,統一保管 (注意這有被駭的安全性問題),Tag內只存放索引,必要時調出憑證來確認。這個方法似乎避免掉了憑證檔不能存在 Tag 的問題,卻又引發了另一個問題。
伺服器機架問題,還未能正式上線。我希望下週就能搞定,就可以架設 OpenCA (+ OpenSSL, Apache HTTP Server 等),現在只能找 Live CD 套著玩。
很好,Live CD 用 VM 跑找不到滑鼠,
回覆刪除實機下去跑又不懂怎麼使用,錯誤一大堆。
看來找個時間摸清楚OpenCA, OpenSSL在幹嘛...
OpenCA 直接安裝還真困難,搞不太定。Live CD真的很好用啊。
回覆刪除話說我知道憑證過期的原因了,CA有效期間最多只能20年 (7305 天),超過會變負的,也就是197X年去了。設定20年憑證很正常。
接著再看看吧。
我已成功作出憑證,可以用 Root CA 來幫 User 簽署憑證。
回覆刪除加上使用者自己的 RSA Private Key,應該就完成了公私鑰對。
RSA Private Key 依照 PKI 之二文章說法,是加密內容,不可能抽出特定區段,可能得全部塞進 RFID Tag (似乎還是變動位元組?)
憑證檔的話,這可以存在伺服器,反正這本來就要讓越多人知道越好。
真的要存取的話,利用 Tag 跟憑證檔建立某種關聯性,在需要的時候呼叫使用,應該就可以取得。
(例如憑證 Serial 序號、憑證檔名稱之類的;或直接利用 Tag 跟資料庫的關係,在資料庫中記明憑證位置)