LINUX.ORG.RU
ФорумAdmin

OpenVPN на сертификатах easy-rsa. Помогите с инфраструктурой.

 


1

1

Здравствуйте.
Помогите, пожалуйста, с логикой понимания происходящего.
Планирую структуру на несколько OpenVPN серверов с использованием сертификатов, генерируемых пакетом easy-rsa.
Сам easy-rsa находится на отдельном сервере.

Вопрос в том, что мне не понятно, если корневой сертификат ca.crt должен лежать на всех OpenVPN серверах (он указывается в конфиге OpenVPN), то каким образом происходит отзыв клиентских сертификатов?
Как OpenVPN сервер проверяет, что сертификат отозван или нет, если отзыв происходит на отдельном сервере с easy-rsa ?

Ответ на: комментарий от dhameoelin

Прочитал в инете, что этот лист создаётся и обновляется на easyrsa серваке и .. копируется потом на все openvpn сервера. Это правда?

Всмысле, поймите мою боль:
1) можно ли сделать так, чтобы OpenVPN серверы не имели у себя корневого сертификата, а при необходимости обращались на сервер, где он единственно хранится? Это логично же.

2)Имеется ли в Linux автоматизированное средство (типа как роли сертификационных центров в винде) для проверки сертификатов при обращении? или реально нужно скриптами копировать эти листы на все OpenVPN серваки периодически?

Piter_prbg ()
Ответ на: комментарий от Piter_prbg

2) Вы движетесь в совершенно верном направлении. Прочитай про ocsp протокол. Единственную реализацию под линукс про которую я знаю это openca ocspd

snaf ★★★★★ ()
Последнее исправление: snaf (всего исправлений: 1)
Ответ на: комментарий от Piter_prbg
или реально нужно скриптами копировать эти листы на все OpenVPN серваки периодически?

Существуют системы управления конфигурациями, например, puppet, которые будут копировать их за тебя.

anonymous ()
Ответ на: комментарий от Piter_prbg

Всмысле, поймите мою боль:
1) можно ли сделать так, чтобы OpenVPN серверы не имели у себя корневого сертификата, а при необходимости обращались на сервер, где он единственно хранится? Это логично же.

Т.е. то что вы раздаете его клиентам это нормально, а вот на сервер положить это «больно»? Не вижу логики.

По второму пункту, можно и самому накостылить, не так уж и сложно. Можно уже готовые системы использовать, вам уже отписали. Не понятно почему только crl беспокоит, новые сертификаты-то для клиентов также копировать нужно.

anc ★★★★★ ()
Ответ на: комментарий от anonymous

Ну это понятно. Что свой набор скриптов что чужое по - костыль всё равно.

Piter_prbg ()
Ответ на: комментарий от anc

Да, в первом вопрсое логики нет, я спутал ca.key с ca.crt, отсюда неверный вопрос.

По второму пункту как накостылить - масса способов - apache, smb, вот ещё тут puppet предлагают итд. Яб не хотел костылей.

Как думаете, это - то ?

https://www.openssl.org/docs/manmaster/apps/s_server.html

Piter_prbg ()
Ответ на: комментарий от Piter_prbg

По второму пункту как накостылить - масса способов - apache, smb, вот ещё тут puppet предлагают итд. Яб не хотел костылей.

Вообще-то самое очевидное в данном случае это ssh rsync, а то вот apache, smb это уже «мощные костыли». Что мешает в скрипт отзыва добавить его раскидывание по серверам, имхо ничего. Более того если прийдется рулить конфигурациями клиентов, это также проще делать через ssh

Как думаете, это - то ?
https://www.openssl.org/docs/manmaster/apps/s_server.html

Ровным счетом ничего не думаю. Я не в курсе умеет ли «пробрасывать» запросы сабж, если узнаете отпишитесь возможно будет полезно многим.

anc ★★★★★ ()
Ответ на: комментарий от anc

новые сертификаты-то для клиентов также копировать нужно.

А зачем? Клиент во время хэндшейка передает свой сертификат и у него проверяется подпись. Больше ничего и не нужно.

anonymous ()
Ответ на: комментарий от anonymous

Тут возможно я ТС не до конца понял. Оттолкнулся от своего опыта, когда раздаем ключи админам соответствующих серверов, а они раздают уже клиентам. Я копировал так же как crl-ки.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.