Re: LDAP

[Artem Chuprina <ran@lasgalen.net>]

artiom -> debian-russian@lists.debian.org  @ Mon, 16 Apr 2018 00:33:40 +0300:

 >>> Да, аутентификация по сертификату есть, если вы купите у своего
 >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
 >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 
 >> 
 >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
 >> используя сервис аля dyndns.
 >> 
 > Вот хотелось поподробнее про Let's Encrypt.
 > Эта идея сначала была, но загнулась, и теперь мои сертификаты
 > самоподписанные.
 > Я так понял, этот сервис подписывает сертификат, созданный на внешнее
 > доменное имя?

Да. 

Причем по этому имени должен быть доступен веб-сервер, и уметь отдать
сгенерированный по ходу операции подписи файл со случайным именем,
подписанный соответствующим ключом. И выдается такой сертификат на 3
месяца, так что рекомендуемая частота перевыпуска - раз в месяц.

Для локалки так себе решение. Возможно, свой CA (не самоподписанные
сертификаты, а плюс лишние два часа времени однократно, и таже
процедура, но со своим корневым сертификатом) будет умнее. Но
преимущество Let's Encrypt (на данный момент политических игр в области
PKI) в том, что про подписанные им сертификаты не надо ничего вручную
объяснять каждому клиенту. А про свой CA надо.