Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:31:17 +0400:
>> > Частенько проскакивают темы про OpenVPN, но ни разу никто не
>> > уточнил, как генерирует сертификаты. Например, сегодня обсуждали
>> > использование сервера OpenVPN в роутерах, но для меня подобный
>> > подход обесценивается тем, что для каждого нового пользователя
>> > следует создать сертификат и зашить его в прошивку устройства. Так
>> > что сам уже начал думать о том, чтобы перенести
>>
>> Это еще зачем? Клиентский сертификат должен быть на клиенте. А на
>> сервере - только сертификат самого сервера, и сертификат CA, на
>> котором проверяются сертификаты клиентов. Он, естественно, должен
>> быть ОДИН на всех клиентов. Выписывать сертификаты можно на
>> нормальной машине.
AP> Публичный ключ клиента должен быть на сервере, иначе как проверить
AP> клиента?
Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
скажу, что клиент проверяется по переданному им в рамках сессии
сертификату, подписанному CA. И лишь сертификат CA, один на всех
клиентов, должен быть на сервере. Чтобы проверить подпись.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Вам правду резать или кусочком?
Кнышев
Reply to: