Re: Сертификаты OpenVPN
Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 22:59:44 +0400:
>> Чушь городишь. Совершенно необязательно производить проверку статуса
>> сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его
>> секретрый ключ и он успел уведомить о том центр сертификации, чтобы
>> ключ отозвали.
AP> Никого он уведомлять не будет, просто позвонит мне. Соответственно,
AP> я должен на уровне сервера OpenVPN мгновенно заблокировать доступ
AP> этого клиента.
Мгновенно у тебя в любом случае не получится. Время реакции
человеческого мозга на сказанную фразу существенно ненулевое.
openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp
ca.crl openvpn_server:/etc/openvpn/
>> > Отечественные центры и того хуже - в каждом регионе свой центр
>> > сертификации, а если мне надо работать с клиентами из разных регионов,
>> > что же,
>>
>> Ты заведи свой центр сертификации. Который будет удостоверять
>> исключительно твоих клиентов. Тут варианта два - либо не предполагается
>> оспаривание в суде ошибок аутентификации и авторизации, тогда вообще
>> никого не волнует юридический статус оного центра, либо предполагается.
>> Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в
>> котором (или в прилагаемых технических условиях) написано, что стороны
>> соглашаются признавать электронную подпись сгенерированную таким-то
>> софтом и, в частности, подпись вот этого центра сертификации.
>>
>> У нас до сих пор все реальные сети обмена данными, использующие
>> электронную подпись, работают именно так.
AP> Если центр сертификации не зарегистрирован как таковой, то любое
AP> соглашение, подразумевающее это, не имеет юридической силы. Или
AP> получать лицензию на работу в качестве федерального центра
AP> сертификации, или получать сертификат в федеральном центре. В любом
AP> случае более чем в одном регионе работать не удастся.
... спорить о вкусе устриц с теми, кто их ел...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Творить - не делать! (c)Элхэ Ниеннах
Reply to: