CityCat4

По вкладу в тег. Но как обычно - больше прав - больше обязанностей :)

мне пришлось заменить файлы

Ну разумеется. А иначе придется всем рассылать оповещения - чуваки, скачайте новый сертификат сервера и поменяйте у себя.
ta.key не знаю зачем и dh.pem можно было бы и не менять - пусть новый инстанс сгенерит себе новую константу, а вот server.crt и server.key - правильно заменили. ca.crt - это просто файл корневых сертификатов

Нет, невозможно.
Меняйте ролями, чтобы сервер стал клиентом и наоборот.

Ни единого комментария.

Кому будет интересно разбираться в этой каше? Отладчик в зубы - и по шагам трейсить программу, отслеживая счетчики.

Хотите узнать, есть ли в Вашей конторе СБ? Если это по работе - проще всего написать своему руководителю. Если нет - ну добро, дерзайте. Сейчас как раз руководство премию к НГ планирует - очень вовремя будет :)

Наверное зайти на консоль и посмотреть какой там адрес :) Там кстати вполне может не быть никакого :)

Нет таких. Люди, которые взыскуют кроссплатформенности, не связываются с win-only решениями. Есть контейнерное шифрование TrueCrypt/VeraCrypt со всеми его достоинствами и недостатками.

Минутку, я кажется когда-то такую задачу решал... Вот.

/*-------------------------------------------------------------------------
            Unescape string againts some character

            Call: void strunescape(char *source, char symbol);
            Args: source - source string, is subject to change!
                  symbol - unescaping symbol

            Source string MUST be finished by \0'.
-------------------------------------------------------------------------*/
#include "make.h"

// Main function

void strunescape(char *source, char symbol)
{
  register int i = strlen(source);
  register int j;

  for(j = 0;j <= i;j++)
   if (source[j] == symbol)
     memmove(&source[j], &source[j + 1], i - j + 1);
}

Смысл в чем - при уменьшении строки ты ее просто дергаешь к голове в той же самой области памяти. И так до тех пор, пока все вхождения symbol не будут обнаружены.

Автоответ-то сделать запросто через sieve, но как дальше - не представляю. В ответном письме не может быть никаких форм, никаких скрпитов (а если есть - их запросто порежут) - там будет просто текст. Можно попросить заполнить текстовые поля согласно некоторого формата.

И все. В корпоративной почте зачастую даже html запрещен.

ТС вроде как повезло - он сдал. Но так везет не всем - https://habr.com/ru/news/t/596137/

Это как раз о том, о чем я писал в комментах - никто не будет с Вами чухаться. Система потребует, чтобы ей обеспечили условия, в которых она будет работать - или же работать откажется.

Файл .ca - это файл .ca. Что он из себя представляет, зависит от его содержимого.

Несколько сертификатов в формате PEM можно обьединить в один файл, так делают довольно часто. Bundle (бандл) - это буквально "связка", "пачка", то есть некоторое количество чего-то.

Прочитал про организацию своего PKI и не совсем понял одну вещь

Судя оп вопросу, стоило написать "не понял нихрена так что даже толком не могу обьяснить, что мне надо".

PKI - иерархическая структура выпуска сертификатов X.509, которые по сути являются защищенными от изменений файлами, содержащими некоторый набор данных (если абстрагироваться от сети доверия, поскольку собственному CA не доверяет никто), которые ты передаешь между некоторыми службами и сервисами. Как эти файлы будут использоваться - это твое личное дело, какие данные заложишь - такие и проверишь.
Разные ограничения можно реализовать по-разному, все зависит от того, что надо.
В почте сертификат используют для шифрования
В вебе - для подтверждения подлинности имени
В VPN - для аутентификации сторон

Никак.

Мне ничего не помешает открыть сайт в виртуалке и включить запись на хосте. Да, качества не будет, но записать я смогу, причем так, что виртуалка никогда об этом не узнает. Но это самый хардкорный способ. Обычно все далется намного проще - пишется псевдо-клиент, который якобы крутит фильм, а на самом деле его скачивает

Родной клиент windows не поддерживает наиболее безопасные методы шифрования.

Чи-во? AES256-CBC для Вас не слишком безопасный? Ну добро, что для Вас есть "безопасный метод шифрования"?

Для винды нет никаких IPSec клиентов - ни платных, ни бесплатных. Forticlient работать не будет - он работает исключительно со своим оборудованием. Когда-то были ZyWall, The GreenBow, ShrewSoft - но они все были жутко кривые и потому видимо померли.

Наоборот стандартному юзеру нужно, чтобы искаропки.

"Безопасный VPN" не бывает в вакууме. Сначала определяются для чего он нужен. Для стандартного применения - выход в корпоративную сеть с точки выезда в командировку или с дома при работе по удаленке встроенного виндового клиента овердофига, даже при том, что там PFS приходится выключать - а то обновление ключей не проходит, отработает час - и зависает.

Разумеется работает это все только по сертификатам, никаких там паролей.

как можно решить данную задачу, что нужно купить для этого?

Немного времени у админа на фрилансе. Либо нанять админа, если работы для него найдется на полный день.

libreoffice base конечно же (в винде делается ессно на access). Качается книжка для чайников, читается, и лабается. Как-то мне понадоиблось, я (вообще нуль в access) через пару часов уже что-то лабал.
Движков-то БД-шных - тыщи, но это же самому писать.

Ты видимо пропустил момент, когда оповещалось, что множество VPN (в том числе и норд), которые не захотели сотрудничать с РКН (а накуа - ведь в этом и был их смысл) - просто были забанены.
Типичное решение этой проблемы - VPS в Забугории, к которому брошен обычный VPN (ovpn/ipsec/еще что-то), и с которого делаются нужные действия. Пять - шесть евро в месяц - и волосы будут гладкие и пушистые...
А на домашнем роутере потребуется настроить, чтобы нужный трафик ходил через забугорский VPN - то есть, чтобы коннект к норду был не с домашнего IP, а с забугорского. При этом DNS тоже нужно не забыть :)