один CA для разных серверов в openvpn

0

1

Допустим, есть несколько серверов на которых крутится openvpn. И конечно несколько клиентов. Я правильно понял, что Certificate Authority (CA) можно и нужно сгенерить только на одном из них один раз, а использовать на других серверах?

То есть, конфигурация самого сервера может быть разной на разных машинах, это нормально, а сам сертификат должен быть один, сгенерированный на одном из серверов и используемый на других?

Ссылка

←	загрузка на hubic

patch nvidia-drivers-340 для ядра 4.11 на Gentoo

→

Да. СА общий, сертификаты клиентов и серверов - разные.

thesis ★★★★★
(13.05.17 08:34:28 MSK)

Ссылка

а сам сертификат должен быть один

Не то-что бы должен, но это возможно. Без каких-то дополниетльных теловиджений у всех клиентов (чьи сертификаты подписаны этим CA) будет доступ к обоим серверам.

сгенерированный на одном из серверов

А вот это совершенно не обязательно. Приватному ключу CA нет нужды попадать на сервер. Его можно генерить, хранить и использовать в каком-нибудь защищённом окружении.

MrClon ★★★★★
(13.05.17 08:38:01 MSK)

Ссылка

Да, СА можно использовать один и тот же.

Если используешь OpenVPN только на серверах и клиентских компах, то не забывай, что по Х.509 easyrsa3 там генерируются сертификаты со свойствами server или client, чтобы разделять роли.

Если используешь OpenVPN с применением Mikrotik на любой из сторон, то генерировать ВСЕ сертификаты придется руками через вызовы openssl. Mikrotik не умеет распознавать server или client свойства в сертификатах и с такими сертификатами не работает вообще, так что удобный скрипт easyrsa3 использовать нельзя.

slamd64 ★★★★★
(13.05.17 11:31:07 MSK)
Последнее исправление: slamd64 13.05.17 11:35:54 MSK (всего исправлений: 2)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	загрузка на hubic

General

patch nvidia-drivers-340 для ядра 4.11 на Gentoo

→

Похожие темы