Аутентификация через OpenVPN

Зачем использовать только серверный сертификат?

Чо?

openVPN использует SSL шифрование. Оно ассимитрично. Публичный ключ (он же сертификат) на клиенте, которым сообщение шифруется и может быть расшифровано только закрытым ключом сервера.

Кроме всего прочего клиенту нужно убедится, что сервер к которому он подключается - именно тот, который нужен. Для сервера таким подтверждением во втором случае является связка логин-пароль.

openVPN использует SSL шифрование. Оно ассимитрично

так ведь только для обмена сессионными ключами. а дальше - любой симметричный алгоритм

https://en.wikipedia.org/wiki/OpenVPN#Encryption

так ведь только для обмена сессионными ключами. а дальше - любой симметричный алгоритм

Можно подумать, где-то как-то по другому можно сделать этот алгоритм Диффи-Хеллмана.

просто уточнил)

Спасибо, вы очень хорошо объяснили. Но возник вопрос, зачем создавать собственные ключи и сертификаты для каждого клиента, если можно пользоваться одним серверным ключом и сертификатом для всех, разделяя клиентов по логинам и паролям.

ВНЕЗАПНО на тот случай, если авторизация и аутентификация производится по сертификатам, без пароля!

Круто, правда?

Ну и кроме того, чтобы знать, что клиент - это клиент, а не хер с горы с логином и паролем.

Сами придумали или подсказал кто?

Сертификаты удостоверяют пользователя в общем случае именно хрена с горы, который весь из себя «мамой клянусь» получил его на доверии от УЦ, который может быть никак не связан с сервером VPN.

Ваш VPN сервис доверяет выдачу сертификатов клиентов стороннему УЦ? O_o

слово Private в середине аббревиатуры VPN вам ни о чем не говорит?

Ну, что сказать, тогда ОК!

Ваш VPN сервис доверяет выдачу сертификатов клиентов стороннему УЦ? O_o

Именно. Мне больше делать нечего, как брать на себя ответственность, разбираться с подписями на доверенности на право получения Васей Пупкиным как представителем от Рога и Копыта? Для этого есть УЦ, вся ответственность за удостоверение личности на него, получил сертификат — добро пожаловать в закрытый сервис. Если накосячит — разбираться будут в суде с Рога и Копыта и далее по списку.

easy-rsa

Правишь vars, чтобы каждый раз не отвечать на 100500 вопросов. Генерируешь сертификат CA. Генерируешь сертификат сервера. Генерируешь сертификат клиентов. Никакой крутой науки.

Вы вообще вникали в суть написанного или по одному ключевому слову вытащили из закладок припасенный URL? Вам про удостоверение соискателя говорилось, а не про создания очередного самоподписанного CA локалхоста.

Разупорину прими.

Просто поддержу. Хотя ранее вроде vodz не был таким «упоротым». Хотя судя по его высказываниям могу предположить о чем идет речь, но это к теме ТС явно не имеет отношения. Т.е. явно мимо.

Ага, а ключи от ssh вы тоже доверяете УЦ? Ну-ну

Ага, а ключи от ssh вы тоже доверяете УЦ? Ну-ну

Во-первых, либо вы доверяете УЦ, либо нет. Если не доверяете, значить он для вас не доверенный и не является для вас УЦ. Во-вторых, каждый волен регистрировать сертификат для конкретного действия этого пользователя в системе.

Просто поддержу. Хотя ранее вроде vodz не был таким «упоротым».

В-третьих каждый должен заниматься своим делом, при этом смотреть на мир со своей колокольни админа локалхоста, когда вы и на дуде игрец, когда помимо админа vnp ещё и экперт по графологии и прочих как там распознавателей поддельных печатей — ну значить у вас такая карма, и можете засунуть свою «упротость» в одно меcто, вы просто смешны.