Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://theory.sinp.msu.ru/pipermail/ru-ngi/2015q4/001666.html
Дата изменения: Fri Dec 4 14:21:28 2015 Дата индексирования: Sun Apr 10 18:31:22 2016 Кодировка: koi8-r |
Hi Eygene, хочу опять вернуться к этому вопросу. Похоже проблема уже назревает. Наколько я знаю из: https://twiki.cern.ch/twiki/bin/view/LCG/WLCGOpsMinutes151203#Middleware_News Многие CA уже перешли на новую политику выдачи сертификатов с "Alternative Name". У нас есть подвижки в этом направлении? On Fri, 4 Sep 2015, Eygene Ryabinkin wrote: > Валерий, добрый день. > > Fri, Sep 04, 2015 at 06:42:31PM +0300, Valery Mitsyn wrote: >> судя по отчету по вчерашнему митингу: >> https://twiki.cern.ch/twiki/bin/view/LCG/WLCGOpsMinutes150903 >> и ссылке на "Baseline Versions": >> https://twiki.cern.ch/twiki/bin/view/LCG/WLCGBaselineVersions >> "Globus GSSAPI Name compatibility change" >> необходимо на: >> https://ca.grid.kiae.ru/RDIG/requests/new-host-cert.html >> кроме "Common Name" иметь и поле "Alternative Name", >> и уметь выдавать сертификаты хостов с полем: >> "X509v3 Subject Alternative Name". >> Иначе у нас, к примеру, полетят все argus серверы, >> которых по четыре на Т1 и Т2 в режиме round robin dns >> с одним сертификатом. > > "preferably by the end of the year" ;)) Стало быть, будем стараться. > Я, правда, не совсем пока понял, что за беда, если в CN будет один, > допустим, argus.jinr.ru, и никаких других имён из прямой зоны > использоваться не будет, а в обратной будет для всех машин прописано > argus.jinr.ru, но глубоко я пока не разбирался с нововведениями в GT. > -- Best regards, Valery Mitsyn