Здравствуйте.
Смотрел несколько инструкций по настройке OPENVPN, кто то ставит OPENVPN без данных сертификатов, кто то создает их для сервера и клиента. Для чего они нужны? Какие плюсы и минусы в них?
Благодарю
Ruslan_nir, Твой или еще чей-то.
Вообще по уму УЦ не выдает ключи, он выдает сертификат, а это другое. В рамках openvpn для старта предлагается использовать в качестве быстрого варианта УЦ скрипты easy-rsa. Многие обычно так на них и остаются.
Если организовывать PKI правильно, то клиент никогда не должен выпускать из рук свой приватный ключ и не давать его ни кому и генерировать его самостоятельно. УЦ только заверяет публичный ключ клиента своей ЭЦП и навешивает прочие ограничения, типа срока действия сертификата и т.п.
Если сертификаты используются для доступа к многим сервисам, то это как централизованное управление пользователями. УЦ может заблокировать сертификат у себя, и все сервисы проверив CRL сразу будут отказывать владельцу сертификата в доступе.
В реальности часто на правильность многие забивают и один админ генерит ключи для всех клиентов и серверов, а CRL вовсе не используется. Но так не везде :)