LINUX.ORG.RU

Куда реком-ся сохранять сервер. и куда клиенсткие ключи и сертиф. в openvpn?

 ,


0

1

Сгенерил я все ключи, сертификаты, несколько клиентов. По каким папкам все это желательно расфасовать? Я имею ввиду конкретно, а не просто - «положи все в папку openvpn».

CA держу на личном ноутбуке с зашифрованным диском. На сервере только то, что необходимо ему: ca.crt, srv.pem, srv.crt, ta.key, dh2048.pem. Для клиентов генерирую сертификаты на том же ноутбуке, часто засовываю их в .ovpn, и рассылаю по scp. Раньше заморачивался с certificate request, но когда мобильных клиентов стало большинство, перестал.

Deleted
()
Ответ на: комментарий от Deleted

хотя:

1) какой именно CA на личном ноуте - ca.key?

2) «на том же ноутбуке» --> это на личном?

3) «Раньше заморачивался с certificate request, но когда мобильных клиентов стало большинство, перестал» --> почему, что изменилось? почему именно мобильных?

Dorioka
() автор топика
Ответ на: комментарий от Dorioka

А про что? Как более пофеншуйно разложить ca.crt, server.crt и server.key в /etc/openvpn/?
У меня так:
/etc/openvpn/vpn_name.conf
/etc/openvpn/vpn_name/ca_name.crt
/etc/openvpn/vpn_name/vpn_name.crt
/etc/openvpn/vpn_name/vpn_name.key

И там-же, в /etc/openvpn/vpn_name, ipp, ccd, основной лог (надо-бы перенести) и openvpn-status.log

MrClon ★★★★★
()
Ответ на: комментарий от Dorioka

1) какой именно CA на личном ноуте - ca.key?

всю структуру CA. Сначала была иерархия easy-rsa, теперь использую xca, гуевину, что бы не приходилось раз в полгода по-новой вспоминать порядок действия и ключи запуска скриптов

2)

да

3) почему, что изменилось? почему именно мобильных?

для всякий айпадов и умных холодильников - certificate request морока. Хотя идеологически правильно. Генерю .ovpn и загружаю либо по ssh либо по usb - на удивление стандартное решение.

Deleted
()
Ответ на: комментарий от Dorioka

На клиентах, заинлайненые в конфиги. И на своём ПК, вместе с ключом CA и всем прочем.
ca_name/ca_name.crt
ca_name/ca_name.key
ca_name/cert_name/cert_name.crt
ca_name/cert_name/cert_name.key
ca_name/cert_name/cert_name.ovpn

И ещё csr-ы храню, не знаю зачем, наверное просто забыл добавить в скрипт генерящий всё это их удаление

MrClon ★★★★★
()
Ответ на: комментарий от Dorioka

в какой папке клиенты на сервере?

Не поверишь, /etc/openvpn
И не в папке, а в мамке

у CA всегда имя файла - ca.{key/crt}

Да ну?

MrClon ★★★★★
()
Ответ на: комментарий от Dorioka

Ну а куда тебе ещё конкретнее? Вот конфиг, cert_name.ovpn, кладёшь ещё в /etc/openvpn/. Всё. Ну можно ещё разрешение на conf сменить, что-бы дебиановские стартовые скрипты его подцепляли.
Чего тут вообще разводить какие-то мудрствования?

MrClon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.