[Comm] openvpn

[Nikolay A. Fetisov]

On Wednesday 01 June 2005 10:06, Roman V. Tutov wrote:
> ...
> Но тогда получаеться что ключ на всех 
> один ? непорядок ...

Почему? Создается CA, или SubCA - по желанию. Создаётся 
серверный сертификат на серверу. Создаются клиентские 
сертификаты в нужном количестве. Клиентам раздаются их 
сертификаты с ключами + сертификат CA. На сервере лежит 
сертификат сервера, его ключ и сертификат CA. По желанию - ещё 
список отзыва.

При установлении соединения сервер смотрит, выдан ли сертификат
клиента известным ему CA и есть у клиента ключ к нему. 
Аналогичная проверка делается на стороне клиента. На ключ к 
сертификату клиента можно дополнительно наложить пароль, тогда 
при соединии он будет запрашиваться.

Ключ CA не нужен для работы ни серверу, ни тем более клиентам и 
хранится отдельно. Сертификаты клиентов серверу тоже не нужны, 
они запрашиваются при соединении.  Сертификат сервера на 
клиентах также не хранится.


-- 
С уважением,
Николай Фетисов