OpenVPN - имеет ли смысл использовать существующий сертификат?

0

1

Планирую настроить OpenVPN на своём VPS-сервере, чтобы обходить всякие идиотские запреты. У меня есть домен и на него есть SSL-сертификат (выданный startssl). В самом начале инструкции по настройке OpenVPN описана генерация своего самоподписанного ключа. Не будут ли ругаться клиенты при подключении, как браузеры? Раз уже есть «хороший» сертификат, логичнее, вроде как, его попытаться использовать. Но гугл ничего подобного не находит, как будто это только мне в голову пришло. Не заморачиваться и делать самоподписанный сертификат?

Ссылка

←	Проблемы монтирования iSCSI диска при загрузке Debian

Ядро. Средство автоматизирования конфигурирования

→

логичнее, вроде как, его попытаться использовать

Да, перед тем, как купить в магазине водку, логично проверять свой возраст в паспорте.

thesis ★★★★★
(31.08.14 00:08:05 MSK)

Ссылка

На 99% уверен, что твоим «хорошим» сертификатом нельзя подписывать другие.
По теме - клиенты ругаться не будут, так что не заморачивайся.

~~zaharov~~ ★
(31.08.14 00:46:31 MSK)

Ответ на: комментарий от zaharov 31.08.14 00:46:31 MSK

Понятно, спасибо.

~~Legioner~~ ★★★★★
(31.08.14 00:50:46 MSK) автор топика

Ссылка

Немного дополню - клиенты по SSL обычно ругаются, когда сертификат подписан неизвестным CA.

OpenVPN предполагает наличие сертификатов CA и на клиенте и на сервере. То есть ты конфигурируя клиента УЖЕ говоришь какому CA ты доверяешь. Тоже самое и с сервером. Отсюда и вывод - проблем не будет.

Теперь далее. У твоего сертификата, выданного доверенным CA скорее всего проставлен бит(точное название его я не помню, гугл в помощь), запрещающий подписывать им другие сертификаты. То есть этот сертификат нельзя объявить новым CA и построить на нём свою инфраструктуру. Обычно дешевые сертификаты выдаются именно с таким расчётом - что они будут использоваться непосредственно в приложениях, а не для организации своей инфраструктуры.

Pinkbyte ★★★★★
(31.08.14 01:54:22 MSK)

Ссылка

1. Абсолютно нелогично. Кроме тебя, твоим впн сможет воспользоваться удостоверяющий центр, потому что у него есть закрытый ключ ca
2. Если хочется обходить идиотские запреты, об этом явно не стоит писать на открытом ресурсе.

selivan ★★★
(31.08.14 04:11:41 MSK)

Ответ на: комментарий от selivan 31.08.14 04:11:41 MSK

Если хочется обходить идиотские запреты, об этом явно не стоит писать на открытом ресурсе.

А то что?

anonymous
(31.08.14 04:27:04 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблемы монтирования iSCSI диска при загрузке Debian

Admin

Ядро. Средство автоматизирования конфигурирования

→

Похожие темы