Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:56:04 +0400:
>> AP> Публичный ключ клиента должен быть на сервере, иначе как проверить
>> AP> клиента?
>>
>> Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
>> скажу, что клиент проверяется по переданному им в рамках сессии
>> сертификату, подписанному CA. И лишь сертификат CA, один на всех
>> клиентов, должен быть на сервере. Чтобы проверить подпись.
AP> На сервере:
AP> # ls
AP> easy-rsa ipp.txt openvpn.conf
AP> # cd easy-rsa
AP> # ls
AP> keys
AP> # cd keys
AP> # ls
AP> 01.pem 02.pem 03.pem 05.pem 06.pem 0C.pem ca.crt ca.key dh1024.pem
AP> server.crt server.key
AP> Без файлов .pem ничего не работает, их требуется класть для каждого клиента.
20:33:58 ran@castle:/etc/openvpn
zsh% ls
castle-openvpn.crt dh1024.pem openvpn-status.log
castle-openvpn.key ipp.txt server.conf
zsh% grep crt server.conf
ca /etc/ssl/cacert.crt
cert castle-openvpn.crt
zsh% cat ipp.txt
wizzle,10.16.0.4
tigger,10.16.0.8
Видимо, настраивать OpenVPN следует не первым попавшимся способом, а
по здравом размышлении и при понимании того, что делаешь?
AP> На всякий случай:
AP> # openvpn --version
AP> OpenVPN 2.0.7 armv5b-softfloat-linux [SSL] [LZO] built on Jun 20 2006
AP> Developed by James Yonan
AP> Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>
zsh% openvpn --version
OpenVPN 2.0 i386-pc-linux [SSL] [LZO] [EPOLL] built on Jan 7 2007
Developed by James Yonan
Copyright (C) 2002-2005 OpenVPN Solutions LLC <info@openvpn.net>
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Юзер упорствует в хождении по граблям. Образовавшиеся шишки он считает
трудовыми мозолями. (С)энта
Reply to: