OpenVPN: posizione di archiviazione e creazione di chiavi / certificati?

Naviga le tue risposte
4

Sto ripristinando l'infrastruttura OpenVPN per essere più sicuro dell'originale e ho desiderato alcune indicazioni.

Si è notato che la migliore politica di sicurezza è quella di mantenere l'autorità di certificazione (CA) offline e separata dal server, ma non ci sono molte indicazioni su come ottenere ciò.

Se ho una CA, un server e un client, dove vanno tutte le chiavi / certificati (ca.key / crt, server.key / crt, client.key / crt)?

Inoltre, qual è la migliore pratica nella generazione di questi file? Ho leggi che dovrebbero essere generati sul server e i file * .csr possono essere rimossi una volta firmato il certificato.

    
posta Christopher Kinnee 07.09.2014 - 23:17
fonte

1 risposta

3

In questo modo:

  • Macchina CA: ca.crt, ca.key
  • Server: ca.crt, server.crt, server.key
  • Client: client.crt, client.key, ca.crt

In particolare, ca.key non va sul server. Se il server è compromesso, l'utente malintenzionato non otterrà ca.key.

Con easy-rsa si genera la chiave e il certificato sulla macchina CA e li si invia al client. Tecnicamente non è necessario conservarli, sebbene sia una buona idea conservare i certificati nel caso in cui sia necessario revocarli in seguito. In tal caso, tienili sul computer CA.

    
risposta data 08.09.2014 - 08:44
fonte

Leggi altre domande sui tag

L2TP / IPSec: autenticazione reciproca PRIMA che l'utente possa accedere a VPN Dischi rigidi di sola lettura