Re: Сертификаты OpenVPN
On 2007.10.08 at 19:31:17 +0400, Alexey Pechnikov wrote:
> > Это еще зачем? Клиентский сертификат должен быть на клиенте.
> > А на сервере - только сертификат самого сервера, и сертификат CA, на
> > котором проверяются сертификаты клиентов. Он, естественно, должен быть
> > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной
> > машине.
>
> Публичный ключ клиента должен быть на сервере, иначе как проверить клиента?
Не должен. На эту тему есть PKI - Public Key Infrastructure.
Клиент сам пришлет свой сертификат при установлении соединения.
Серверу нужно только иметь способ удостовериться, что этот сертификат
действительно принадлежит именно тому, кто в нем прописан в качестве
Common Name. А вот это-то как раз и удостоверяет подпись CA под
сертификатом. Соответственно, верить сертификату нужно ровно настолько,
насколько можно верить данному CA.
Reply to: