Куда реком-ся сохранять сервер. и куда клиенсткие ключи и сертиф. в openvpn?

0

1

Сгенерил я все ключи, сертификаты, несколько клиентов. По каким папкам все это желательно расфасовать? Я имею ввиду конкретно, а не просто - «положи все в папку openvpn».

Ссылка

←	история сообщений одного аккаунта на разных устройствах

мультипостинг в клиенты

→

CA держу на личном ноутбуке с зашифрованным диском. На сервере только то, что необходимо ему: ca.crt, srv.pem, srv.crt, ta.key, dh2048.pem. Для клиентов генерирую сертификаты на том же ноутбуке, часто засовываю их в .ovpn, и рассылаю по scp. Раньше заморачивался с certificate request, но когда мобильных клиентов стало большинство, перестал.

Deleted
(23.05.17 15:40:58 MSK)

Ответ на: комментарий от Deleted 23.05.17 15:40:58 MSK

вопрос не про это.

Dorioka
(23.05.17 15:49:40 MSK) автор топика

Ответ на: комментарий от Deleted 23.05.17 15:40:58 MSK

хотя:

1) какой именно CA на личном ноуте - ca.key?

2) «на том же ноутбуке» --> это на личном?

3) «Раньше заморачивался с certificate request, но когда мобильных клиентов стало большинство, перестал» --> почему, что изменилось? почему именно мобильных?

Dorioka
(23.05.17 15:52:32 MSK) автор топика

Ответ на: комментарий от Dorioka 23.05.17 15:49:40 MSK

А про что? Как более пофеншуйно разложить ca.crt, server.crt и server.key в /etc/openvpn/?
У меня так:
/etc/openvpn/vpn_name.conf
/etc/openvpn/vpn_name/ca_name.crt
/etc/openvpn/vpn_name/vpn_name.crt
/etc/openvpn/vpn_name/vpn_name.key

И там-же, в /etc/openvpn/vpn_name, ipp, ccd, основной лог (надо-бы перенести) и openvpn-status.log

MrClon ★★★★★
(23.05.17 15:59:21 MSK)

Ответ на: комментарий от Dorioka 23.05.17 15:52:32 MSK

1) какой именно CA на личном ноуте - ca.key?

всю структуру CA. Сначала была иерархия easy-rsa, теперь использую xca, гуевину, что бы не приходилось раз в полгода по-новой вспоминать порядок действия и ключи запуска скриптов

2)

да

3) почему, что изменилось? почему именно мобильных?

для всякий айпадов и умных холодильников - certificate request морока. Хотя идеологически правильно. Генерю .ovpn и загружаю либо по ssh либо по usb - на удивление стандартное решение.

Deleted
(23.05.17 16:14:02 MSK)

Ссылка

Ответ на: комментарий от MrClon 23.05.17 15:59:21 MSK

а клиентов где?

Dorioka
(23.05.17 17:03:20 MSK) автор топика

Ответ на: комментарий от Dorioka 23.05.17 17:03:20 MSK

На клиентах, заинлайненые в конфиги. И на своём ПК, вместе с ключом CA и всем прочем.
ca_name/ca_name.crt
ca_name/ca_name.key
ca_name/cert_name/cert_name.crt
ca_name/cert_name/cert_name.key
ca_name/cert_name/cert_name.ovpn

И ещё csr-ы храню, не знаю зачем, наверное просто забыл добавить в скрипт генерящий всё это их удаление

MrClon ★★★★★
(23.05.17 17:44:18 MSK)

Ответ на: комментарий от MrClon 23.05.17 17:44:18 MSK

в какой папке клиенты на сервере?

что за ca_name? у CA всегда имя файла - ca.{key/crt}

Dorioka
(23.05.17 18:02:58 MSK) автор топика

Ответ на: комментарий от Dorioka 23.05.17 18:02:58 MSK

в какой папке клиенты на сервере?

Не поверишь, /etc/openvpn
И не в папке, а в мамке

у CA всегда имя файла - ca.{key/crt}

Да ну?

MrClon ★★★★★
(23.05.17 18:07:49 MSK)

Ответ на: комментарий от MrClon 23.05.17 18:07:49 MSK

ну тогда перечитай вопрос.

Dorioka
(23.05.17 18:21:39 MSK) автор топика

Ответ на: комментарий от Dorioka 23.05.17 18:21:39 MSK

Ну а куда тебе ещё конкретнее? Вот конфиг, cert_name.ovpn, кладёшь ещё в /etc/openvpn/. Всё. Ну можно ещё разрешение на conf сменить, что-бы дебиановские стартовые скрипты его подцепляли.
Чего тут вообще разводить какие-то мудрствования?

MrClon ★★★★★
(23.05.17 18:39:10 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	история сообщений одного аккаунта на разных устройствах

General

мультипостинг в клиенты

→

Похожие темы