Alexey Lyahkov Posted December 13, 2020 Posted December 13, 2020 Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA. (опционально еще генерацию этого самого SA). Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента. Quote
0 r13 Posted December 13, 2020 Posted December 13, 2020 1 час назад, Alexey Lyahkov сказал: Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA. (опционально еще генерацию этого самого SA). Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента. Чем проще? Сейчас на клиента не надо ставить левых сертификатов чтоб подключиться к серверу, достаточно корневых. да и центр сертификации на роутере, такое себе. Quote
0 Alexey Lyahkov Posted December 20, 2020 Author Posted December 20, 2020 Генерация сертификатов полностью подконтрольна организации. Как SA так и конкретный сертификат для пира. Вполне документируемая и не допускает даже потенциальную утечку данных о сертификатах. Хотя я вижу вы полностью верите Let's crypt и что они совершенно никогда и никому (даже если прийдут правильные органы) не выпустят дубль сертификата. Напомню - что выпуск сертификатов дублей уже был в истории. Не Let's crypt другими SA - но был. Я вот не уверен что вы готовы поручиться что их не будет в будущем? линки илюстрируюие - https://www.securitylab.ru/analytics/365717.php - https://www.opennet.ru/opennews/art.shtml?num=36712 ну и там куча всяких других. Quote
0 Alexey Lyahkov Posted December 20, 2020 Author Posted December 20, 2020 А проще тем что есть how-to для Mikrotik сразу https://mikrotik.wiki/wiki/VPN:IPsec_(аутентификация_с_помощью_сертификата) https://system-administrators.info/?p=2094 Ну и не один из этих how-to не предусматривает скачивание откуда-то полного списка корневых сертификатов. Quote
0 Le ecureuil Posted December 22, 2020 Posted December 22, 2020 Пока для сверхпараноиков можно использовать openvpn. Quote
0 Alexey Lyahkov Posted February 11, 2021 Author Posted February 11, 2021 @Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов. PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям. Quote
0 Le ecureuil Posted February 11, 2021 Posted February 11, 2021 1 час назад, Alexey Lyahkov сказал: @Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов. PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям. На самом деле сделать хорошо - это и долго, и сложно. Quote
Question
Alexey Lyahkov
Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.
(опционально еще генерацию этого самого SA).
Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.
6 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.