[Comm] Openvpn

Nikolay A. Fetisov naf на naf.net.ru
Сб Фев 2 18:51:51 MSK 2013 

В Сб, 02/02/2013 в 17:04 +0400, Vladimir Karpinsky пишет:
> 02.02.2013 16:37, Nikolay A. Fetisov пишет:
> > В Сб, 02/02/2013 в 08:52 +0400, Vladimir Karpinsky пишет:
> >> 31.01.2013 0:04, Nikolay A. Fetisov пишет:
> ...
> вероятно, уход в чрут полезен, да и вставить 3 строки недолго, 
> пользователь и группа имеются. Чем может грозить сам переход?

В простых случаях - ничем. При сложной конфигурации - невозможностью 
подключения клиентов. В целом, оно расписано в README.ALT.utf-8 .

> >> ...
> >> Пытаюсь для начала свести конфигурации к единообразности по сертификатам.
> >> ...
> >
> > На самом деле, зависит от того, как (чем) создаются сертификаты.
> ...
> почему файлы так значительно отличаются по структуре. Почему у них 
> оказались разные расширения, есть ли в этом какой-то физический смысл?
> 

В формате PEM сертификат размещается в файле между строками 
"-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----", 
вне них может быть произвольный текст - то, чем
генерируются/подписываются сертификаты, может вставить туда
свои комментарии, свою служебную информацию и т.д.

Формат файлов сертификатов, на самом деле, форматом PEM не ограничен -
OpenVPN сам их не разбирает, годится всё, что понимает OpenSSL .

Расширения - чистая условность, они не важны. На самом деле,
и файлы сертификатов тоже могут отсутствовать - возможно вставить
сертификаты и ключ непосредственно в файл конфигурации OpenVPN.
Для этого вместо параметров ca, cert и key с именами файлов 
в конфигурацию OpenVPN вставляется содержимое этих файлов, в окружении
тегов <ca>...</ca>, <cert>...</cert>, <key>...</key> .


> ...
> Плохо то, что сделал давно, заниматься этим приходится урывками, да и 
> сервер лишний раз перегружать не хочу. В результате работает, но как...
> 

Перезагрузка физического сервера не нужна - вполне достаточно
перезапускать сервер OpenVPN. При небольшом числе клиентов это вполне
безболезненно, отвалившиеся клиенты или перезапускаются руками,
или переподключаюся автоматически.



-- 
С уважением,
Николай Фетисов

Подробная информация о списке рассылки community