Jump to content
  • 0

IPSec по собственным сертификатам.


Alexey Lyahkov
 Share

Question

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
1 час назад, Alexey Lyahkov сказал:

Судя по анонсам сделали ipsec с сертификатами Let's crypt, а почему бы не сделать загрузку сертификатов и тп - из собственного SA.

(опционально еще генерацию этого самого SA).

Тогда товарищам Microtic админам будет сильно легче - ибо в наличии будет how-to как для сервера, так и для клиента.

Чем проще? Сейчас на клиента не надо ставить левых сертификатов чтоб подключиться к серверу, достаточно корневых.  да и центр сертификации на роутере, такое себе.

Link to comment
Share on other sites

  • 0

Генерация сертификатов полностью подконтрольна организации. Как SA так и конкретный сертификат для пира. Вполне документируемая и не допускает даже потенциальную утечку данных о сертификатах. Хотя я вижу вы полностью верите Let's crypt и что они совершенно никогда и никому (даже если прийдут правильные органы) не выпустят дубль сертификата.

Напомню - что выпуск сертификатов дублей уже был в истории. Не Let's crypt другими SA - но был. Я вот не уверен что вы готовы поручиться что их не будет в будущем?

линки илюстрируюие 
https://www.securitylab.ru/analytics/365717.php

https://www.opennet.ru/opennews/art.shtml?num=36712

ну и там куча всяких других.

 

 

Link to comment
Share on other sites

  • 0

А проще тем что есть how-to для Mikrotik сразу https://mikrotik.wiki/wiki/VPN:IPsec_(аутентификация_с_помощью_сертификата) 

https://system-administrators.info/?p=2094

 

Ну и не один из этих how-to не предусматривает скачивание откуда-то полного списка корневых сертификатов.

Link to comment
Share on other sites

  • 0

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

Link to comment
Share on other sites

  • 0
1 час назад, Alexey Lyahkov сказал:

@Le ecureuil К сожалению это не сверх паранойя. А требование вполне конкретных отделов.

 

PS. разворачивать полный SA (как сделано у Микротиков - не стоит, кому это надо - будет специальный комп). А вот загрузка сертификатов - сделать и не долго и приятно людям.

На самом деле сделать хорошо - это и долго, и сложно.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...