Для чего нужны сертификаты easy-rsa в OPENVPN?

Question

[Ruslan_nir]

Здравствуйте.
Смотрел несколько инструкций по настройке OPENVPN, кто то ставит OPENVPN без данных сертификатов, кто то создает их для сервера и клиента. Для чего они нужны? Какие плюсы и минусы в них?
Благодарю

Answer 1

[Drno]

проверка то что сервер не поддельный, как и клиент

Comments

[Ruslan_nir]

А в роли удостоверяющего центра будет мой сервер, который будет выдавать ключи?

[res2001]

Ruslan_nir, Твой или еще чей-то.
Вообще по уму УЦ не выдает ключи, он выдает сертификат, а это другое. В рамках openvpn для старта предлагается использовать в качестве быстрого варианта УЦ скрипты easy-rsa. Многие обычно так на них и остаются.

Если организовывать PKI правильно, то клиент никогда не должен выпускать из рук свой приватный ключ и не давать его ни кому и генерировать его самостоятельно. УЦ только заверяет публичный ключ клиента своей ЭЦП и навешивает прочие ограничения, типа срока действия сертификата и т.п.
Если сертификаты используются для доступа к многим сервисам, то это как централизованное управление пользователями. УЦ может заблокировать сертификат у себя, и все сервисы проверив CRL сразу будут отказывать владельцу сертификата в доступе.

В реальности часто на правильность многие забивают и один админ генерит ключи для всех клиентов и серверов, а CRL вовсе не используется. Но так не везде :)

[Ruslan_nir]

res2001, сложновато, но благодарю за ответ.