К вопросу о распространении сертификатов.

0

0

В продолжение чуть ранее поднятой темы www.linux.org.ru/view-message.jsp?msgid=3720992

Помимо сертификатов клиента есть ещё и сертификат TLS-сервера, генерируемый с помощью

openvpn --genkey --secret ta.key

Каким же способом его распространять? Совет воспользоваться sftp или чем-то наподобие не канает, т.к. в таком случае что мешает также распространять сертификаты из темы выше?

Ссылка

←	bgp и независимые ip

Смена пароля на samba при логине через SSH

→

Если ты про секретный ключ сервера - его не надо распространять, потому что за такое больно бьют.

А открытый ключ сервера можешь хоть на веб-странице повесить - на то он и открытый.

nnz ★★★★
(15.07.09 14:59:36 MSD)

Ответ на: комментарий от nnz 15.07.09 14:59:36 MSD

> Если ты про секретный ключ сервера - его не надо распространять, потому что за такое больно бьют.

«Но, чёрт побери, Холмс, как?!»

Чтобы клиент openvpn мог соединиться с сервером, требуются только подписанный на сервере сертификат, ключ клиента и СА: client.crt, client.key и ca.crt.

Но кроме них используется TLS. На сервере генерируем ключ, как сказано выше. В конфиге указываем:

tls-auth /etc/openvpn/keys/ta.key 0

А на клиенте, соответственно, следует каким-то образом получить тот же файл и указать его в конфиге как

tls-auth /etc/openvpn/keys/ta.key 1

Вот и встаёт вопрос: как передавать этот ключ клиентам или как сгенерировать сей ключ на клиенте, используя какие-то открытые данные с сервера?

HolyBoy ★
(16.07.09 12:01:16 MSD) автор топика

Ответ на: комментарий от HolyBoy 16.07.09 12:01:16 MSD

А, ты про HMAC :)

Его придется раздавать клиентам вручную.

nnz ★★★★
(16.07.09 15:06:07 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	bgp и независимые ip

Admin

Смена пароля на samba при логине через SSH

→

Похожие темы