>>> Mag sein. Was spricht dagegen, jedem Nutzer das gleiche zu geben?
Sag ich doch - zu viel Aufwand. Alleine das Erstellen des Zertifikats
erfordert, daß man vier Passworte eingibt. Einmal, damit niemand das
im Verzeichnis liegende Secret lesen kann, einmal, damit man es nicht
fschal eingibt, einmal das RootCA-Passwort und einmal um das Passwort
aus dem Ergebnis zu entfernen, so daß es für den Dienst benutzbar wird.
Wenn man dann noch nie mit Zertifikaten zu tun hatte, hat man zudem
noch die Gelegenheit, sich durch die "Zertifikat in n Schritten durch
magische Handbewegungen"-Anleitungen und die "Dieses Puzzelteil tut
$nochniegehörtwassolldasdennseinundsollteichesüberhauptwollen"-Dokumente
zu wühlen, in der vergeblichen Hoffnung, zufällig auf ein einfaches
Dokument zu stoßen, in dem steht "Es gib die Formate pem, ping und pong,
deren Eigenschaften sind ...".
Mein Gedanke geht in Richtung
echo 'test -e ~/.config/lpd/key || lpr-keygen&' >> /
etc/skel/.profile
Das heißt, man müßte eine Root-CA pro Nutzer einpflegen. Örks.
Auch sonst bin ich mit dem Zertifikatskram nicht glücklich. Die Zertifikate
sind reine Blobs, denen man nicht ansieht, welchen Inhalt sie haben oder
welche Berechtigungen sie geben. Wenn man nicht weiß, was genau sie
enthalten, ist es sogar schwierig, das Kommando zu finden, mit dem man die
vorhandenen Daten (Stadt, Land, Fluß, Name, Emailadresse und Schuhgröße des
Laptop 0815) anzeigen kann.
Das Vergeben der Rechte wird zudem dadurch erschwert, daß man
Autentifizierung mit Authorisierung mischt. Wer bekannt ist, darf alles.
Wahrscheinlich kann man auch ein Zertifikat von mehreren CAs signieren lassen,
aber irgendwie unterstützt das keines der mir bekannten Verwaltungsprogramme
und ich habe keine Lust, dafür durch Ringe zu springen.
Was ich eigentlich unter Zertifizierung erwarten würde, ist daß ich dem Träger
des Zertifikatsschlüssels bestätige, (user|printserver)@domain zu sein, und
daß die Berechtigung über einen eigenen Mechanismus geregelt wird.
