Задать вопрос
savenko_egor
@savenko_egor

Как организовать синхронизацию сертификатов на разных OpenVPN серверах?

САБЖ.
Есть у кого-то идеи или варианты по реализации данной структуры?
Для примера:
Есть два(может больше) сервера. На каждом из них установлен и настроен OpenVPN. На каждом установлен Easy-RSA пакет. При генерации сертификатов клиентов, нужно как-то синхронизировать БД чтобы клиент мог подключаться как на 1-ый сервер, так и на 2-ой.
Прошу схемы с монтированием папки с одного сервера на другой не предлагать. Считаю это глупостью, потому что если отвалится сервер с которого монтируется папка, то вся структура развалится.
Спасибо!
  • Вопрос задан
  • 586 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 4
chupasaurus
@chupasaurus
Сею рефлекторное, злое, временное
Никак не синхронизировать. Приватный ключ не должен покидать места, где был сохранен после генерации, кроме 2 ситуаций: угроза хранилищу с ключом и угроза кражи. Для того, чтобы баловаться с огнём, придумали цепочки сертификатов: создавайте отдельный корневой CA и им подписывайте сертификаты остальных серверов.
Ответ написан
@Wexter
1) запилить скрипт который будет генерировать сертификат + раскидывать на все сервера
2) поднять реплицируемую кластерную фс типа glusterfs и хранить там, единственный момент надо ручками пинать синхронизацию при запуске нового/временно выключенного сервера
Ответ написан
Комментировать
@A1estro
Можно хранить в Vault и ansible'ом раскидывать по серверам.
Либо, как уже сказали, glusterfs.
Ответ написан
Комментировать
savenko_egor
@savenko_egor Автор вопроса
Ещё как будто под мой вопрос, написали статью: https://habrahabr.ru/company/flant/blog/338628/
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
ValdikSS
@ValdikSS
Клиентские сертификаты не требуется хранить на сервере. Клиент при подключении присылает сам сертификат на OpenVPN-сервер (но не закрытый ключ), сервер проверяет корректность цифровой подписи и иерархии, и разрешает VPN соединение. На сервере вообще не должно быть клиентских сертификатов. Синхронизировать сертификаты между разными PKI с одинаковыми приватными ключами тоже не требуется (хотя это не очень хорошо).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы