[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP


18.04.2018 14:14, Artem Chuprina пишет:
> artiom -> debian-russian@lists.debian.org  @ Tue, 17 Apr 2018 23:19:39 +0300:
> 
>  >>  >>> Да, аутентификация по сертификату есть, если вы купите у своего
>  >>  >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
>  >>  >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 
>  >>  >> 
>  >>  >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса
>  >>  >> используя сервис аля dyndns.
>  >>  >> 
>  >>  > Вот хотелось поподробнее про Let's Encrypt.
>  >>  > Эта идея сначала была, но загнулась, и теперь мои сертификаты
>  >>  > самоподписанные.
>  >>  > Я так понял, этот сервис подписывает сертификат, созданный на внешнее
>  >>  > доменное имя?
>  >> 
>  >> Да. 
>  >> 
>  >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать
>  >> сгенерированный по ходу операции подписи файл со случайным именем,
>  >> подписанный соответствующим ключом. И выдается такой сертификат на 3
>  >> месяца, так что рекомендуемая частота перевыпуска - раз в месяц.
>  >> 
>  > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя.
> 
> Это автомат.
> 
>  >> Для локалки так себе решение.
>  > Ну тут не только локалка: фишка в том, что сервер наружу смотрит.
> 
> Тогда может иметь смысл. А может не иметь. Я для своих целей (набор
> exim'ов, OpenVPN) пользуюсь своим CA, там CA, известный браузерам из
> коробки, совершенно ни к чему.
> 
LE смысла не имеет: у меня не паблик и список пользователей жёстко
ограничен.
Собственный CA имеет смысл, вроде.
Вопрос только в том, насколько сложно (LDAP тоже казался простым, но
свои особенности у каждого сервиса сожрали уйму времени)?
Reply to: