[Comm] openvpn

[Roman V. Tutov]

Здравствуйте, Nikolay.

Вы писали 1 июня 2005 г., 11:32:07:

NAF> On Wednesday 01 June 2005 10:06, Roman V. Tutov wrote:
>> ...
>> Но тогда получаеться что ключ на всех 
>> один ? непорядок ...

NAF> Почему? Создается CA, или SubCA - по желанию. Создаётся 
NAF> серверный сертификат на серверу. Создаются клиентские 
NAF> сертификаты в нужном количестве. Клиентам раздаются их 
NAF> сертификаты с ключами + сертификат CA. На сервере лежит 
NAF> сертификат сервера, его ключ и сертификат CA. По желанию - ещё 
NAF> список отзыва.

NAF> При установлении соединения сервер смотрит, выдан ли сертификат
NAF> клиента известным ему CA и есть у клиента ключ к нему. 
NAF> Аналогичная проверка делается на стороне клиента. На ключ к 
NAF> сертификату клиента можно дополнительно наложить пароль, тогда 
NAF> при соединии он будет запрашиваться.

NAF> Ключ CA не нужен для работы ни серверу, ни тем более клиентам и 
NAF> хранится отдельно. Сертификаты клиентов серверу тоже не нужны, 
NAF> они запрашиваются при соединении.  Сертификат сервера на 
NAF> клиентах также не хранится.
О боже . как оно все сложно . Не подскажете где это описано "по
нунктам" .я пытался разобраться с доками на openvpn так там черт ногу
сломит

-- 
Тутов Роман Викторович 
Системный администратор
ASTON Agro Industrial Company Group 
Россия,344002, г.Ростов-на-Дону,Промзона "Заречная" 
ул.1-я Луговая,3 тел.: (863 2) 999049
JID:tutov на jabber.aston.ru
mailto:tutov на aston.ru