Re: Генерация сертиикатов для VPN

To: debian-russian@lists.debian.org
Subject: Re: Генерация сертиикатов для VPN
From: Nicholas <spam@networkgate.us>
Date: Tue, 20 May 2008 21:58:34 -0400
Message-id: <[🔎] g0vvff$cma$1@ger.gmane.org>
In-reply-to: <[🔎] g0veqr$ng$1@ger.gmane.org>
References: <[🔎] 20080519195350.3a87006a@desktopvm.lvknet> <[🔎] g0v1vm$dae$1@ger.gmane.org> <[🔎] g0veqr$ng$1@ger.gmane.org>

apm wrote:

>Я как раз мучаюсь проблемой как отдать управление сертификатамиopenvpn >менеджеру через web interface, что б меня не дергали ключигенерить.


openca - не пробовал.

А вот как это выглядит в ejbca:

1. Вы создаете профайлы сертификатов суперпользователем (все через веб)

в которых задаете обязательные и необязательные параметры, которые либозафиксированны либо могут меняться при создании. (клиентский/серверный,для почты/для веба/для всего, алгоритм и т.д. - любые опции которые естьв доках по openssl - все "галочками" )Я как раз мучаюсь проблемой какотдать управление сертификатами openvpn менеджеру через web interface,что б меня не дергали ключи генерить.2. Создаете админов (хотя бы одного) и разрешаете каждому админуиспользовать определенные профайлы (каждый профайл под свою задачу илидомен удобно сделать - что бы стандартные данные подставлял при генерации)3. Админы могут "создавать" (отзывать/обновлять) сертификатыпользователей - в результате получается логин и пароль которыйпередается конечному пользователю.4. Пользователь может залогиниться через веб и скачать сертификат(только тогда он и сгенерится и только один раз - если недруг перехватилписьмо с паролем это сразу выявится, второй раз пароль использоватьнельзя). Причем пользователь тоже может менять свойства сертификата(например длину или форму в зависимости от ОС ), если такая опцияразрешена админом. При генерации создается пакет в который включеныключи в нужной форме (pki например) и необходимый софт, также автоматомможет генериться пользовательский конфиг openvpn (для каждого свой - сосвоими именами ключей, если надо), могут добавляться и другиефайлы/проги, может генериться инсталяционный exe файл для win, есликлиент галочку ставит - он один и опен впн поставит и все остальное за раз.

Все это через веб, выглядит очень просто, по каждому клиенту виднаистория - когда что создавалось, кем, с какого ip забиралось, когдаотзывалось.


Лицензия LGPL.

Единственный минус - требует джаву.

--
Sincerely,
	Nicholas

Reply to:

Follow-Ups:
- Re: Генерация сертиикатов для VPN
  - From: apm <korjavin@gmail.com>
- Re: Генерация сертиикатов для VPN
  - From: apm <korjavin@gmail.com>

References:
- Генерация сертиикатов для VPN
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: Генерация сертиикатов для VPN
  - From: Nicholas <spam@networkgate.us>
- Re: Генерация сертиикатов для VPN
  - From: apm <korjavin@gmail.com>

Prev by Date: Re: Smart-errors
Next by Date: Re: Генерация сертиикатов для VPN
Previous by thread: Re: Генерация сертиикатов для VPN
Next by thread: Re: Генерация сертиикатов для VPN
Index(es):
- Date
- Thread