Jump to content
Где взять тестовые сборки
  • 0

IPSec по собственным сертификатам.

Alexey Lyahkov

Asked by Alexey Lyahkov,

 Share

Question

Alexey Lyahkov Advanced Member

Alexey Lyahkov

Posted
Posted

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
r13 Honored Flooder

r13

Posted
Posted
1 час назад, Alexey Lyahkov сказал:

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

Чем проще? Сейчас на клиента не надо ставить левых сертификатов чтоб подключиться к серверу, достаточно корневых.  да и центр сертификации на роутере, такое себе.

Link to comment
Share on other sites
  • 0
Alexey Lyahkov Advanced Member

Alexey Lyahkov

Posted
  • Author
Posted

Генерация сертификатов полностью подконтрольна организации. Как SA так и конкретный сертификат для пира. Вполне документируемая и не допускает даже потенциальную утечку данных о сертификатах. Хотя я вижу вы полностью верите Let's crypt и что они совершенно никогда и никому (даже если прийдут правильные органы) не выпустят дубль сертификата.

Напомню - что выпуск сертификатов дублей уже был в истории. Не Let's crypt другими SA - но был. Я вот не уверен что вы готовы поручиться что их не будет в будущем?

линки илюстрируюие 
https://www.securitylab.ru/analytics/365717.php

https://www.opennet.ru/opennews/art.shtml?num=36712

ну и там куча всяких других.

 

 

Link to comment
Share on other sites
  • 0
Alexey Lyahkov Advanced Member

Alexey Lyahkov

Posted
  • Author
Posted

А проще тем что есть how-to для Mikrotik сразу https://mikrotik.wiki/wiki/VPN:IPsec_(аутентификация_с_помощью_сертификата) 

https://system-administrators.info/?p=2094

 

Ну и не один из этих how-to не предусматривает скачивание откуда-то полного списка корневых сертификатов.

Link to comment
Share on other sites
  • 0
Alexey Lyahkov Advanced Member

Alexey Lyahkov

Posted
  • Author
Posted

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

Link to comment
Share on other sites
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
1 час назад, Alexey Lyahkov сказал:

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

На самом деле сделать хорошо - это и долго, и сложно.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...