Re: Сертификаты OpenVPN
> Не бывает. Как упыря. В смысле пароля у сертификата. Пароль бывает у
> секретного ключа. Или у PKCS12, который такой контейнер для сертификата
> И секретного ключа.
>
> Секретный ключ это отдельная сущность лежит в отдельном файле, и
> поменять у него пароль, в том числе и снять его совсем с помощью команд
> openssl rsa или openssl dsa.
>
> Из pkcs12 нужно потом всё равно потом извлекать сертификат и ключ в
> PEM-формате. Вот при извлечении можно указать что ключ без пароля
> сохранять.
> По мнению создателей tinyca админ сервера знает о криптографии
> достаточно, чтобы самостоятельно снять пароль с секретного ключа.
> если считает, что это безопасно, или воспользоваться опцией
> --management-query-passwords у OpenVPN, если считает что ключ на диске
> сервера находится в недостаточной безопасности.
Спасибо. Оказывается, предусмотрены разные модели безопасности. А можно найти
какие-то документы, когда какой вариант оправдано использовать - не
техническое описание, а именно как выбрать стратегию? Технических хауту
много, но хотелось бы сначала четко увидеть цель и потом уже определиться со
средствами.
Reply to: