@Nomad_Kreator

Сертификаты VPN?

Поднял L2TP/IPsec сервер на Ubuntu и привезал его к сертификатам Let's Encrypt. В качестве аутентификации используется аутентификация по ключам, общий пароль НЕ используется вообще. Я пробовал использовать для подключения ключ сервера. Не работает. Создал новый Let's Encrypt сертификат и поставил на клиент - не работает.
В интернете все советуют делать одельную инфраструктуры открытых ключей и инфраструктуру закрытых ключей для OpenVPN и IKE от IPSec! Надо ли создавать индивидуальную инфраструктуру открытых ключей для VPN?!
  • Вопрос задан
  • 279 просмотров
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Для VPN иногда приходится выполнять некие особые требования к содержимому сертификатов. Не знаю, как с этим в L2TP, но в простом IPSec например для винды нужно в CN имя компьютера и еще в SAN - то же самое имя компьютера, а для андроида в серверном сертификате (то есть, который на сервере, а не на самом андроиде) в SAN должно быть то же самое имя, к которому ты подключаешься (например у тебя VPN зовется zhopa.gdeto.tam и в SAN должна быть запись DNS:zhopa.gdeto.tam)
Потому обычно и советуют создавать свой CA, потому что в нем проще добавлять в сертификат то, что нужно именно тебе - я вот не знаю, как обьяснить LE, что тебе нужно в сертификате иметь определенную запись :)
Ответ написан
kocherman
@kocherman
Что вы подразумеваете под отдельной инфраструктурой, папку с ключами что-ли? OpenVPN отдельное standalone-приложение, он сам себе генерирует ключи. А LetsEncrypt подружить с OpenVPN - это схоже как научить здорового человека ходить на руках. Разве что, сами ключи клиент может запрашивать через Web-сервер, там уже LetsEncrypt будет штатным решением. OpenVPN и так комбайн неповоротливый, а вы хотите добавить к нему какие-то фундаментальные фичи. Главное - с какой целью?

Под серьёзные вещи, я бы даже при реализации обычной авторизации на Web-сервере по ключам OpenSSL никогда бы не использовал LetsEncrypt, как и другие центры сертификации - тупо, что бы хотя бы скрыть от этих центров сам факт того, что там что-то есть...
Ответ написан
ValdikSS
@ValdikSS
Вообще говоря, должно работать. Let's Encrypt выдаёт сертификат с обоими необходимыми Extended Key Usage: TLS Server и TLS Client. В настройках IPsec-демона необходимо указать CA Let's Encrypt Authority X3.

Если вы всё это делаете исключительно из-за нежелания добавлять свои CA на клиентской стороне, то вы можете получить сертификат из публичного CA на сервер, а для аутентификации клиентов использовать собственный PKI с самоподписными сертификатами, импортируя только сертификат и приватный ключ на стороне клиента, без самого CA.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы