LINUX.ORG.RU
ФорумAdmin

К вопросу о распространении сертификатов.


0

0

В продолжение чуть ранее поднятой темы www.linux.org.ru/view-message.jsp?msgid=3720992

Помимо сертификатов клиента есть ещё и сертификат TLS-сервера, генерируемый с помощью

openvpn --genkey --secret ta.key

Каким же способом его распространять? Совет воспользоваться sftp или чем-то наподобие не канает, т.к. в таком случае что мешает также распространять сертификаты из темы выше?


Если ты про секретный ключ сервера - его не надо распространять, потому что за такое больно бьют.

А открытый ключ сервера можешь хоть на веб-странице повесить - на то он и открытый.

nnz ★★★★
()
Ответ на: комментарий от nnz

> Если ты про секретный ключ сервера - его не надо распространять, потому что за такое больно бьют.

«Но, чёрт побери, Холмс, как?!»

Чтобы клиент openvpn мог соединиться с сервером, требуются только подписанный на сервере сертификат, ключ клиента и СА: client.crt, client.key и ca.crt.

Но кроме них используется TLS. На сервере генерируем ключ, как сказано выше. В конфиге указываем:

tls-auth /etc/openvpn/keys/ta.key 0

А на клиенте, соответственно, следует каким-то образом получить тот же файл и указать его в конфиге как

tls-auth /etc/openvpn/keys/ta.key 1

Вот и встаёт вопрос: как передавать этот ключ клиентам или как сгенерировать сей ключ на клиенте, используя какие-то открытые данные с сервера?

HolyBoy
() автор топика
Ответ на: комментарий от HolyBoy

А, ты про HMAC :)

Его придется раздавать клиентам вручную.

nnz ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.