Re: Генерация сертиикатов для VPN
apm wrote:
>Я как раз мучаюсь проблемой как отдать управление сертификатами
openvpn >менеджеру через web interface, что б меня не дергали ключи
генерить.
openca - не пробовал.
А вот как это выглядит в ejbca:
1. Вы создаете профайлы сертификатов суперпользователем (все через веб)
в которых задаете обязательные и необязательные параметры, которые либо
зафиксированны либо могут меняться при создании. (клиентский/серверный,
для почты/для веба/для всего, алгоритм и т.д. - любые опции которые есть
в доках по openssl - все "галочками" )Я как раз мучаюсь проблемой как
отдать управление сертификатами openvpn менеджеру через web interface,
что б меня не дергали ключи генерить.
2. Создаете админов (хотя бы одного) и разрешаете каждому админу
использовать определенные профайлы (каждый профайл под свою задачу или
домен удобно сделать - что бы стандартные данные подставлял при генерации)
3. Админы могут "создавать" (отзывать/обновлять) сертификаты
пользователей - в результате получается логин и пароль который
передается конечному пользователю.
4. Пользователь может залогиниться через веб и скачать сертификат
(только тогда он и сгенерится и только один раз - если недруг перехватил
письмо с паролем это сразу выявится, второй раз пароль использовать
нельзя). Причем пользователь тоже может менять свойства сертификата
(например длину или форму в зависимости от ОС ), если такая опция
разрешена админом. При генерации создается пакет в который включены
ключи в нужной форме (pki например) и необходимый софт, также автоматом
может генериться пользовательский конфиг openvpn (для каждого свой - со
своими именами ключей, если надо), могут добавляться и другие
файлы/проги, может генериться инсталяционный exe файл для win, если
клиент галочку ставит - он один и опен впн поставит и все остальное за раз.
Все это через веб, выглядит очень просто, по каждому клиенту видна
история - когда что создавалось, кем, с какого ip забиралось, когда
отзывалось.
Лицензия LGPL.
Единственный минус - требует джаву.
--
Sincerely,
Nicholas
Reply to: