AK
И часто вы на ОВПН пользуетесь CRL ?
Size: a a a
2020 May 28
AK
Ну мне просто любопытно.
AK
"опция", "возможность" — это всё семантика
AK
надо, давно. Но вот времени нема пока
AK
Теоретически у OpenVPN есть где-то опция чтобы он ещё и CRLы проверял. Но вот честно-честно никогда не пользовался. Ну как-то влом в придачу к ОВПН ещё и PKI разворачивать полноценную. Поэтому даже сертификаты обычно одного уровня делаются. Кстати это вообще говоря штатный скрипт Easy-RSA, который в комплекте с OpenVPN раньше шёл так делал. То есть корневой сертификат и сразу им же подписываются все прочие ключи. И никакого промежуточного, подписанного корневым.
AK
Я больше скажу: я когда-то давно пробовал сделать на OVPN схему с промежуточным сертификатом. Так вот не заработала. Потому что нужно было или какой-то веб-сервер городить чтобы можно было сертификат скачать и проверить, либо надо было всю цепочку сертификатов в PKCS12 вкладывать, включая корневой. Второй вариант был по ряду причин неудобен, первый на тот момент невозможен.
AK
Так что не надо прямо вот настолько критично к этой части у OVPN подходить. Какой есть, такой есть.
AK
По сути OVPN === OSSL + userspace маршрутизатор + всякая удобная обвязка
AK
Ну я бы советовал начинать играться с ОВПН-овскими сертификатами не с микрота, а с линукса, на крайний случай с винды. Там хотя бы диагностика путная доступна (в виде логов). А на микроте замаетесь отлаживать это всё.
AK
Я для себя вывел два рабочих use-case:
1. Общий сертификат+ключ вкупе с индивидуальными пользователями. Это для микрота. Так и рулить удобнее и администрировать. Один фиг, микрот хоть какое-то имя пользователя просит.
2. Индивидуальные сертификаты+ключи для каждого (опционально с парой логин+пароль). Но без CRL. Это для линуксов/винды.
1. Общий сертификат+ключ вкупе с индивидуальными пользователями. Это для микрота. Так и рулить удобнее и администрировать. Один фиг, микрот хоть какое-то имя пользователя просит.
2. Индивидуальные сертификаты+ключи для каждого (опционально с парой логин+пароль). Но без CRL. Это для линуксов/винды.
AK
почему, очень даже можно пользоваться. Я просто сертификаты изначально на линуксах генерю
AK
мне так проще, скрипт-то уже есть
AK
я все серты генерю на линуксе (Маке) а потом серверный+ключ(серверны) и корневой серт загружаю в микрот
AK
а юзверскими пользуюсь на клиентах
AK
ну только я обычно не включаю опцию на микроте чтобы он пользюков из сертов брал. Ну то есть получается что у микрота в этом плане всё наоборот (в смысле то что в линуксе надо выключать, у микрота надо включать)
Y
AK
А таки я ошибся, действительно нема её в микроте. Настолько над этим не задумывался, сейчас глянул и правда нет её
AK
видать с чем-то ещё перепутал
M
M
10-ка говорите?