LINUX.ORG.RU

История изменений

Исправление Harliff, (текущая версия) :

А вообще автор как то странно пишет :

когда кидаешь ca.cert на серверы

Там он киадет а тут почему то не может.

Речь о том, что не нужно сертификат каждого клиента кидать на сервер.

Представьте, что у Вас 2 сервера и 200 клиентов. И удостоверяющий центр (CA) на отдельной машине, который выдаёт клиентам сертификаты для подключения. Вот в случае, про который я пишу, на сервере вообще не должно быть никакой информации о пользователях - только сертификат удостоверяющего центра.

Могут быть доп. настройки для клиентов - Васе прокинуть маршрут 10.10.0.0/16, а Пете поставить адрес 192.168.77.5; но это настройки, а не сертификаты или ключи. Соответственно, когда УЦ выпускает сертификат Васе (у старого закончился срок действия) - на сервере не меняется ничего. Когда отзывает сертификат Пете и выпускает новый - на сервере тоже ничего менять не надо.

Исправление Harliff, :

А вообще автор как то странно пишет :

когда кидаешь ca.cert на серверы

Там он киадет а тут почему то не может.

Речь о том, что не нужно сертификат каждого клиента кидать на сервер.

Представьте, что у Вас 2 сервера и 200 клиентов. И удостоверяющий центр (CA) на отдельной машине, который выдаёт клиентам сертификаты для подключения. Вот в случае, про который я пишу, на сервере вообще не должно быть никакой информации о пользователях - только сертификат удостоверяющего центра.

Могут быть доп. настройки для клиентов - Васе прокинуть маршрут 10.10.0.0/16, а Пете поставить адрес 192.168.77.5; но это настройки, а не сертификаты или ключи. Соответственно, когда УЦ выпускает сертификат Васе (у старого закончился срок действия) - на сервере не меняется ничего.

Исходная версия Harliff, :

А вообще автор как то странно пишет :

когда кидаешь ca.cert на серверы

Там он киадет а тут почему то не может.

Речь о том, что не нужно сертификат каждого клиента кидать на сервер.

Представьте, что у Вас 2 сервера и 200 клиентов. И удостоверяющий центр (CA) на отдельной машине, который выдаёт клиентам сертификаты для подключения. Вот в случае, про который я пишу, на сервере вообще не должно быть никакой информации о пользователях - только сертификат удостоверяющего центра. Может быть доп. настройки для клиентов - Васе прокинуть маршрут 10.10.0.0/16, а Пете поставить адрес 192.168.77.5; но это настройки, а не сертификаты или ключи. Соответственно, когда УЦ выпускает сертификат Васе (у старого закончился срок действия) - на сервере не меняется ничего.