Перейти к содержанию
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

IPSec по собственным сертификатам.

Alexey Lyahkov

Ответ от Alexey Lyahkov,

 Поделиться

Вопрос

Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
Опубликовано

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

6 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
r13 Старожил

r13

Опубликовано
Опубликовано
1 час назад, Alexey Lyahkov сказал:

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

Чем проще? Сейчас на клиента не надо ставить левых сертификатов чтоб подключиться к серверу, достаточно корневых.  да и центр сертификации на роутере, такое себе.

  • 0
Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
  • Автор
Опубликовано

Генерация сертификатов полностью подконтрольна организации. Как SA так и конкретный сертификат для пира. Вполне документируемая и не допускает даже потенциальную утечку данных о сертификатах. Хотя я вижу вы полностью верите Let's crypt и что они совершенно никогда и никому (даже если прийдут правильные органы) не выпустят дубль сертификата.

Напомню - что выпуск сертификатов дублей уже был в истории. Не Let's crypt другими SA - но был. Я вот не уверен что вы готовы поручиться что их не будет в будущем?

линки илюстрируюие 
https://www.securitylab.ru/analytics/365717.php

https://www.opennet.ru/opennews/art.shtml?num=36712

ну и там куча всяких других.

 

 

  • 0
Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
  • Автор
Опубликовано

А проще тем что есть how-to для Mikrotik сразу https://mikrotik.wiki/wiki/VPN:IPsec_(аутентификация_с_помощью_сертификата) 

https://system-administrators.info/?p=2094

 

Ну и не один из этих how-to не предусматривает скачивание откуда-то полного списка корневых сертификатов.

  • 0
Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
  • Автор
Опубликовано

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
1 час назад, Alexey Lyahkov сказал:

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

На самом деле сделать хорошо - это и долго, и сложно.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю