Re: Генерация сертиикатов для VPN
On 2008.05.21 at 03:11:55 +0600, apm wrote:
> Nicholas пишет:
> >https://www.openca.org/
>
> openca выглядит вполне прилично.
> Странно что не включено в репы дебиана.
>
> Никто не собирал?
Плавали, знаем. Это не монстр, это МО-О-ОНСТР. Это решение для
национального удостоверяющего центра (и в некоторых европейских странах
именно так и используется).
Ставить openca для управления сертификатами в корпоративном OpenVPN все
равно что ставить Oracle +SAP для ведения домашней бухгалтерии.
Нет, конечно, если ваша фирма называется Газпром или там Nokia, то для
её размеров openca - в самый раз.
> Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn
> менеджеру через web interface, что б меня не дергали ключи генерить.
Э, тут надо разобраться сначала самому, что должен делать пользователь,
что менеджер, и при каких обстоятельствах ключи ни за что не должны
покидать машину, на которой сгенерены.
Потом объяснить это менеджеру.
Вообще легкие варианты на тему CA существуют - tinyca, pyca.
Но все они в основном рассчитаны на менеджмент клиентских сертификатов
для HTTPS, т.е. на то, что ключ генерится браузером. В принципе, можно,
конечно пойти и по этому пути - ключ генерируется браузером, заявка
уходит через web в CA, генерируется сертификат, устанавливается в
браузер (благо в браузере это просто, и любому самому тупому юзеру понятно)
Потом из браузера ключ с сертификатом экспортируются в PKCS#12. А уже
PKCS#12 потом втаскивается в openvpn. Благо это очень просто делается
одной командой openssl pkcs12.
Аналогичный способ работы с сертификатами подписи E-Mail реализован в
mutt (в смысле - дебиановском пакете mutt). Ничего, работает
Reply to: