Re: LDAP
artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300:
>>> Да, аутентификация по сертификату есть, если вы купите у своего
>>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
>>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.
>>
>> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
>> используя сервис аля dyndns.
>>
> Вот хотелось поподробнее про Let's Encrypt.
> Эта идея сначала была, но загнулась, и теперь мои сертификаты
> самоподписанные.
> Я так понял, этот сервис подписывает сертификат, созданный на внешнее
> доменное имя?
Да.
Причем по этому имени должен быть доступен веб-сервер, и уметь отдать
сгенерированный по ходу операции подписи файл со случайным именем,
подписанный соответствующим ключом. И выдается такой сертификат на 3
месяца, так что рекомендуемая частота перевыпуска - раз в месяц.
Для локалки так себе решение. Возможно, свой CA (не самоподписанные
сертификаты, а плюс лишние два часа времени однократно, и таже
процедура, но со своим корневым сертификатом) будет умнее. Но
преимущество Let's Encrypt (на данный момент политических игр в области
PKI) в том, что про подписанные им сертификаты не надо ничего вручную
объяснять каждому клиенту. А про свой CA надо.
Reply to:
- Follow-Ups:
- Re: LDAP
- From: "D. H." <d.himro@yahoo.com>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- References:
- LDAP
- From: Артём Н. <artiom14@yandex.ru>
- Re: LDAP
- From: Коротаев Руслан <subscribe@mail.kr.pp.ru>
- Re: LDAP
- From: "D. H." <d.himro@yahoo.com>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>