[Comm] openvpn
Nikolay A. Fetisov
=?iso-8859-1?q?naf_=CE=C1_naf=2Enet=2Eru?=
Ср Июн 1 11:32:07 MSD 2005
On Wednesday 01 June 2005 10:06, Roman V. Tutov wrote:
> ...
> Но тогда получаеться что ключ на всех
> один ? непорядок ...
Почему? Создается CA, или SubCA - по желанию. Создаётся
серверный сертификат на серверу. Создаются клиентские
сертификаты в нужном количестве. Клиентам раздаются их
сертификаты с ключами + сертификат CA. На сервере лежит
сертификат сервера, его ключ и сертификат CA. По желанию - ещё
список отзыва.
При установлении соединения сервер смотрит, выдан ли сертификат
клиента известным ему CA и есть у клиента ключ к нему.
Аналогичная проверка делается на стороне клиента. На ключ к
сертификату клиента можно дополнительно наложить пароль, тогда
при соединии он будет запрашиваться.
Ключ CA не нужен для работы ни серверу, ни тем более клиентам и
хранится отдельно. Сертификаты клиентов серверу тоже не нужны,
они запрашиваются при соединении. Сертификат сервера на
клиентах также не хранится.
--
С уважением,
Николай Фетисов
Подробная информация о списке рассылки community