LINUX.ORG.RU
ФорумAdmin

Аутентификация через OpenVPN

 ,


0

1

Как я понял, в OpenVPN есть два метода аутентификации: сертификаты для сервера и каждого клиента отдельно, либо только серверный сертификат. В обоих случаях сверх можно прикрутить логин/пароль. Может кто-нибудь объяснить разницу в этих методах? Зачем использовать только серверный сертификат? А лучше скинуть источник, где это описано. Надеюсь на вашу помощь.


Зачем использовать только серверный сертификат?

Чо?

openVPN использует SSL шифрование. Оно ассимитрично. Публичный ключ (он же сертификат) на клиенте, которым сообщение шифруется и может быть расшифровано только закрытым ключом сервера.

Кроме всего прочего клиенту нужно убедится, что сервер к которому он подключается - именно тот, который нужен. Для сервера таким подтверждением во втором случае является связка логин-пароль.

zgen ★★★★★
()
Ответ на: комментарий от zgen

openVPN использует SSL шифрование. Оно ассимитрично

так ведь только для обмена сессионными ключами. а дальше - любой симметричный алгоритм

vvviperrr ★★★★★
()
Ответ на: комментарий от vvviperrr

так ведь только для обмена сессионными ключами. а дальше - любой симметричный алгоритм

Можно подумать, где-то как-то по другому можно сделать этот алгоритм Диффи-Хеллмана.

vodz ★★★★★
()
Ответ на: комментарий от zgen

Спасибо, вы очень хорошо объяснили. Но возник вопрос, зачем создавать собственные ключи и сертификаты для каждого клиента, если можно пользоваться одним серверным ключом и сертификатом для всех, разделяя клиентов по логинам и паролям.

a_yush
() автор топика
Ответ на: комментарий от a_yush

ВНЕЗАПНО на тот случай, если авторизация и аутентификация производится по сертификатам, без пароля!

Круто, правда?

Ну и кроме того, чтобы знать, что клиент - это клиент, а не хер с горы с логином и паролем.

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 1)
Ответ на: комментарий от zgen

Сами придумали или подсказал кто?

Сертификаты удостоверяют пользователя в общем случае именно хрена с горы, который весь из себя «мамой клянусь» получил его на доверии от УЦ, который может быть никак не связан с сервером VPN.

vodz ★★★★★
()
Ответ на: комментарий от vodz

Ваш VPN сервис доверяет выдачу сертификатов клиентов стороннему УЦ? O_o

слово Private в середине аббревиатуры VPN вам ни о чем не говорит?

Ну, что сказать, тогда ОК!

zgen ★★★★★
()
Ответ на: комментарий от zgen

Ваш VPN сервис доверяет выдачу сертификатов клиентов стороннему УЦ? O_o

Именно. Мне больше делать нечего, как брать на себя ответственность, разбираться с подписями на доверенности на право получения Васей Пупкиным как представителем от Рога и Копыта? Для этого есть УЦ, вся ответственность за удостоверение личности на него, получил сертификат — добро пожаловать в закрытый сервис. Если накосячит — разбираться будут в суде с Рога и Копыта и далее по списку.

vodz ★★★★★
()
Ответ на: комментарий от vodz

easy-rsa

Правишь vars, чтобы каждый раз не отвечать на 100500 вопросов. Генерируешь сертификат CA. Генерируешь сертификат сервера. Генерируешь сертификат клиентов. Никакой крутой науки.

Radjah ★★★★★
()
Ответ на: комментарий от Radjah

Вы вообще вникали в суть написанного или по одному ключевому слову вытащили из закладок припасенный URL? Вам про удостоверение соискателя говорилось, а не про создания очередного самоподписанного CA локалхоста.

vodz ★★★★★
()
Ответ на: комментарий от Radjah

Просто поддержу. Хотя ранее вроде vodz не был таким «упоротым». Хотя судя по его высказываниям могу предположить о чем идет речь, но это к теме ТС явно не имеет отношения. Т.е. явно мимо.

anc ★★★★★
()
Ответ на: комментарий от anc

Ага, а ключи от ssh вы тоже доверяете УЦ? Ну-ну

Во-первых, либо вы доверяете УЦ, либо нет. Если не доверяете, значить он для вас не доверенный и не является для вас УЦ. Во-вторых, каждый волен регистрировать сертификат для конкретного действия этого пользователя в системе.

Просто поддержу. Хотя ранее вроде vodz не был таким «упоротым».

В-третьих каждый должен заниматься своим делом, при этом смотреть на мир со своей колокольни админа локалхоста, когда вы и на дуде игрец, когда помимо админа vnp ещё и экперт по графологии и прочих как там распознавателей поддельных печатей — ну значить у вас такая карма, и можете засунуть свою «упротость» в одно меcто, вы просто смешны.

vodz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.