[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP

> artiom -> debian-russian@lists.debian.org  @ Mon, 16 Apr 2018 00:33:40 +0300:
> 
>  >>> Да, аутентификация по сертификату есть, если вы купите у своего
>  >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
>  >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 
>  >> 
>  >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
>  >> используя сервис аля dyndns.
>  >> 
>  > Вот хотелось поподробнее про Let's Encrypt.
>  > Эта идея сначала была, но загнулась, и теперь мои сертификаты
>  > самоподписанные.
>  > Я так понял, этот сервис подписывает сертификат, созданный на внешнее
>  > доменное имя?
> 
> Да. 
> 
> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать
> сгенерированный по ходу операции подписи файл со случайным именем,
> подписанный соответствующим ключом. И выдается такой сертификат на 3
> месяца, так что рекомендуемая частота перевыпуска - раз в месяц.
> 
Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя.

> Для локалки так себе решение.
Ну тут не только локалка: фишка в том, что сервер наружу смотрит.

> Возможно, свой CA (не самоподписанные
> сертификаты, а плюс лишние два часа времени однократно, и таже
> процедура, но со своим корневым сертификатом) будет умнее.
Согласен. Так и сделаю, видимо. Как раз, мне нужен один корневой
сертификат, а плодить 10 - не лучшая идея.

> Но
> преимущество Let's Encrypt (на данный момент политических игр в области
> PKI) в том, что про подписанные им сертификаты не надо ничего вручную
> объяснять каждому клиенту. А про свой CA надо.
> 
В данном случае, это не является для меня проблемой.
Reply to: