нет, только публиковать баннеры

и грабить cost per click

Вопрос: тут кто-нибудь настраивал OpenVPN руками и разбирается в его системе авторизации с сертификатами?

а что там разбираться?

есть CA, есть клиенты )

сервер верит клиентам, которые подписаны тем же СА

?

Да

Есть готовый докер имедж для OpenVPN. По умолчанию сертификат там генерируется через openssl и потом в конфиг пихается. Для клиента и для сервера имедж использует один сертификат. Я хочу сгенерировать сертификат для каждого клиента отдельно, тоже через openssl. Вопрос: куда их ложить, чтобы клиент проходил аутентификацию по этим сгенерированным сертификатам?

сервер верит клиентам, которые подписаны тем же СА

Эть... этого я не знал.

их надо дать клиенту

В клиенте

о госпади, докер имидж опенвпн. Больше натов богу ната!

))

--net=host

о госпади, докер имидж опенвпн. Больше натов богу ната!

там ж не совсем нат

в докере не нат? а как же оно в инет выйдет из внутренней то сети?

там есть тцп прокси, да. а юдп?

В клиенте в гуях есть настройка для подкладки сертификата

о госпади, докер имидж опенвпн. Больше натов богу ната!

Всё в докер, дабы не засрать сервер.

Клиент с гуями?

В клиенте в гуях есть настройка для подкладки сертификата

У меня только cli

Есть готовый докер имедж для OpenVPN. По умолчанию сертификат там генерируется через openssl и потом в конфиг пихается. Для клиента и для сервера имедж использует один сертификат. Я хочу сгенерировать сертификат для каждого клиента отдельно, тоже через openssl. Вопрос: куда их ложить, чтобы клиент проходил аутентификацию по этим сгенерированным сертификатам?

зачем класть сертификаты клиента в имидж? в имидже должен быть только сертификат УЦ и CRL, последний периодически обновлять

в докере не нат? а как же оно в инет выйдет из внутренней то сети?

а, тощн

погуглите openvpn + easyrsa

зачем класть сертификаты клиента в имидж? в имидже должен быть только сертификат УЦ и CRL, последний периодически обновлять

Их генерировать там надо.

мануалов тьмуща

Их генерировать там надо.

их НЕ надо там генерировать

генератор должен быть отдельно

это и называется УЦ

в докере не нат? а как же оно в инет выйдет из внутренней то сети?

https://docs.docker.com/engine/userguide/networking/

Уц

Постойте

Можно вообще по разному

но правильные посоны используют pkcs11 для авторизации. с хардварными смарткартами-токенами

/me так у себя и сделал

Можно даже ключи на железках хранить

Можно даже ключи на железках хранить

это в идеале, но дорого оч

/me так у себя и сделал

Лайк

Рутокены надеюсь?

Лайк

а то! у нас ща даже одмины по ссх ходят исключительно по токенам

Рутокены надеюсь?

нет, етокены.

а PKI для openvpn поднимал кто?

а то! у нас ща даже одмины по ссх ходят исключительно по токенам

банк или пентагон? :)

банк или пентагон? :)

ДЦ

а PKI для openvpn поднимал кто?

я. Чего там поднимать-то?

нет, етокены.

Дизлайк

я. Чего там поднимать-то?

ну, есть разные решения

Дизлайк

лучшее из худших для линуха, к сожалению. Сам их терпеть ненавижу.

типа лемура вон

Бери наши

не наши, а ваши :)

В линухе у нас все мега-ок

я из Украины

Политически сложно?

я из Украины

тогда попадалово. Трудно ввезти будет. ФСБ на такие темы оч возбуждается

а PKI для openvpn поднимал кто?

чем pki для openvpn будет отличаться от PKI просто :)

Так то продать можно

а почему за етокены дислайк?

работают и работают

чем pki для openvpn будет отличаться от PKI просто :)

ну в теории нужно соответствующий экстеншн указать

Потому что я делаю рутокены :)

чем pki для openvpn будет отличаться от PKI просто :)

ну вообще строго говоря мало чем

на практикае он там и так есть, так что можно по этому поводу можно сильно не переживать

Потому что я делаю рутокены :)

а, понятно :)

ну в общем pkcs11 это мегавещь, удобно и секюрно ппц.

особенно круто заходят с ipsec впн-ом

Угу

ERROR: S client not available

У нас есть интересная штука

Рутокен впн

Погуглите

в винде так вообще: далее-далее-введите адрес сервера-далее-далее. запускаешь впн, просит пароль от токена, влетел.

но правильные посоны используют pkcs11 для авторизации. с хардварными смарткартами-токенами

Я бы сделал, но мой кейс не такой параноидальный) И хардверных токенов под рукой нет.

Малинка с преднастроенным впн и кучкой токенов

и всё проприетарное, ага? )

Все настраивается в 10 кликов

и всё проприетарное, ага? )

Опенвпн там

гы

ну круто )

Проприетарное там только немножко интерфейса

А так убунта

Короч по теме вопроса

Делаешь на серваке самоподписанный сертификат и бережёшь его

Это коневой теперь

Корневой

На корневом выписываешь пачку юзерских

Раздаешь им ключики и сертификаты

серверу выдаёшь подписанный сертификат с capability сервера.

Юзеры их кладут на свои тачки и все заводится

ЦА по-хорошему на отдельном сервере? И выдать один сертификат серверу, другие клиентам?

серверу выдаёшь подписанный сертификат с capability сервера.

Capability сервер это что?

ЦА по-хорошему на отдельном сервере? И выдать один сертификат серверу, другие клиентам?

По хорошему вообще внешний :)

Можно прикупить сертификаты с доверием

ну, сертификаты имеют поля "разрешения", грубо говоря. СА говорит что этому сертификату можно держать сервер, устанавливать ipsec соединение и т.п.

Вот для того чтобы опенвпн клиент согласился подключаться к серверу, у него должен быть capability сервер. Это насколько я помню, при подписи сертификата указывается

По хорошему вообще внешний :)

Но обычно это дорого, так что подойдёт самоподписанный

Вот для того чтобы опенвпн клиент согласился подключаться к серверу, у него должен быть capability сервер. Это насколько я помню, при подписи сертификата указывается

Верно, это все в опциях OpenSSL есть

В интернетах все написано

ЦА по-хорошему на отдельном сервере? И выдать один сертификат серверу, другие клиентам?

Ключ корневого сертификата нужно держать в безопасности

Как вариант, можно держать на флешке с пин-кодом виртуалку с СА. Самое бюджетное. Но таких флешек должно быть 2 :)