Как организовать синхронизацию сертификатов на разных OpenVPN серверах?

Question

[Sam Stay]

САБЖ.
Есть у кого-то идеи или варианты по реализации данной структуры?
Для примера:

Есть два(может больше) сервера. На каждом из них установлен и настроен OpenVPN. На каждом установлен Easy-RSA пакет. При генерации сертификатов клиентов, нужно как-то синхронизировать БД чтобы клиент мог подключаться как на 1-ый сервер, так и на 2-ой.

Прошу схемы с монтированием папки с одного сервера на другой не предлагать. Считаю это глупостью, потому что если отвалится сервер с которого монтируется папка, то вся структура развалится.
Спасибо!

Answer 1

[chupasaurus]

Никак не синхронизировать. Приватный ключ не должен покидать места, где был сохранен после генерации, кроме 2 ситуаций: угроза хранилищу с ключом и угроза кражи. Для того, чтобы баловаться с огнём, придумали цепочки сертификатов: создавайте отдельный корневой CA и им подписывайте сертификаты остальных серверов.

Comments

[Sam Stay]

А как же Enterprise решение от самих OpenVPN? Или тот же tinc? Или я что-то не так понимаю в сервисах которые они предлагают?

[chupasaurus]

Егор Сав, Не трогал, думаю, что также как я описывал. Но я не видел ещё ни одной серьёзной системы, в которой один серверный сертификат использовался на нескольких хостах.

Answer 2

[Wexter]

1) запилить скрипт который будет генерировать сертификат + раскидывать на все сервера
2) поднять реплицируемую кластерную фс типа glusterfs и хранить там, единственный момент надо ручками пинать синхронизацию при запуске нового/временно выключенного сервера

Answer 3

[A1estro]

Можно хранить в Vault и ansible'ом раскидывать по серверам.
Либо, как уже сказали, glusterfs.

Answer 4

[Sam Stay]

Ещё как будто под мой вопрос, написали статью: https://habrahabr.ru/company/flant/blog/338628/

Answer 5

[ValdikSS]

Клиентские сертификаты не требуется хранить на сервере. Клиент при подключении присылает сам сертификат на OpenVPN-сервер (но не закрытый ключ), сервер проверяет корректность цифровой подписи и иерархии, и разрешает VPN соединение. На сервере вообще не должно быть клиентских сертификатов. Синхронизировать сертификаты между разными PKI с одинаковыми приватными ключами тоже не требуется (хотя это не очень хорошо).

Comments

[Sam Stay]

Я имел ввиду именно синхронизацию базы, а не сертификатов. Чуть не так выразился.

[ValdikSS]

Егор Сав, базу тоже не обязательно синхронизировать для работы VPN, все будет работать и без нее. База нужна, например, для отзывов сертификатов с генерации crl-файла.

[Sam Stay]

ValdikSS, ну вот это как раз и необходимо чтобы работало.