‫תגובות לפוסט: "OpenVPN עם תעודות CA Cert"‬ http://traum.org.il/2010/07/openvpn-%d7%a2%d7%9d-%d7%aa%d7%a2%d7%95%d7%93%d7%95%d7%aa-ca-cert/ ‫‬ Tue, 13 Sep 2011 09:27:18 +0000 hourly 1 http://wordpress.org/?v=3.3.1 ‫מאת: כתריאל‬ http://traum.org.il/2010/07/openvpn-%d7%a2%d7%9d-%d7%aa%d7%a2%d7%95%d7%93%d7%95%d7%aa-ca-cert/#comment-9 ‫כתריאל‬ Wed, 28 Jul 2010 19:31:47 +0000 http://traum.org.il/blog/?p=118#comment-9 ‫אני מסכים לגבי הנקודה כי CA מקומי יספיק בוודאי לרשת קטנה. הדוגמה שמובאת בפוסט מתייחסת ל-CACert, אבל כמובן שתתאים לכל CA אחר. החשיבה שלי בכתיבת הפוסט הייתה יותר לכיוון חברה אשר כבר יש לה תעודות שהונפקו, או שיש לה ICA שנחתם ע"י CA מסחרי/חיצוני. במקרה כזה, שימוש בתשתית קיימת יותר קל. מזווית אישית, אני מעדיף להשתמש ב-CA אחד לכל צרכי, ובחרתי ב-CACert כי הוא חופשי ופשוט לשימוש.‬ אני מסכים לגבי הנקודה כי CA מקומי יספיק בוודאי לרשת קטנה.
הדוגמה שמובאת בפוסט מתייחסת ל-CACert, אבל כמובן שתתאים לכל CA אחר.
החשיבה שלי בכתיבת הפוסט הייתה יותר לכיוון חברה אשר כבר יש לה תעודות שהונפקו, או שיש לה ICA שנחתם ע"י CA מסחרי/חיצוני.
במקרה כזה, שימוש בתשתית קיימת יותר קל.

מזווית אישית, אני מעדיף להשתמש ב-CA אחד לכל צרכי, ובחרתי ב-CACert כי הוא חופשי ופשוט לשימוש.

]]> ‫מאת: צפריר כהן‬ http://traum.org.il/2010/07/openvpn-%d7%a2%d7%9d-%d7%aa%d7%a2%d7%95%d7%93%d7%95%d7%aa-ca-cert/#comment-8 ‫צפריר כהן‬ Wed, 28 Jul 2010 07:03:07 +0000 http://traum.org.il/blog/?p=118#comment-8 ‫נקודה קטנה אחת: האם צריך לערב רשות מאשרת (certification authority) חיצונית? בשביל ה־VPN הפרטי שלי, שמשמש כל מיני מחשבים שלי, התשובה היא כמובן שלילית. יצרתי לי "רשות מאשרת" פרטית (לפי הדוגמה של easy-ca שמגיעה עם openvpn. אבל לא חסרות דרכים אחרות). מה שאני צריך לדאוג להפיץ בצורה אמינה: 1. את המפתח (הציבורי) של הרשות המאשרת שלי לכל לקוח 2. ליצור ברשות המאשרת שלי מפתח (סודי) לכל לקוח ולהעביר אותו ללקוח. רק מי שיש לו תעודה חתומה מזוהה כלקוח. במקום (2) הייתי יכול ליצור את המפתח הסודי אצל הלקוח ולהעביר אותו לחתימה אצל השרת. זה יותר בטוח, אבל במקרה שלי יש לי ערוצים בטוח (זמני - חיבור ssh) בין השרת ללקוח, ולכן אני מעדיף את הדרך הפשוטה יותר. אם מדובר רק על שרת openvpn אחד עם מעט משתמשים, ואם פרוצדורת ההתקנה שלך כוולת ממילא התקנת תעודה של רשות האישור, כדאי לשקול לעבוד עם רשות אישור פרטית כדי לפשט את ההתקנה.‬ נקודה קטנה אחת: האם צריך לערב רשות מאשרת (certification authority) חיצונית?

בשביל ה־VPN הפרטי שלי, שמשמש כל מיני מחשבים שלי, התשובה היא כמובן שלילית. יצרתי לי "רשות מאשרת" פרטית (לפי הדוגמה של easy-ca שמגיעה עם openvpn. אבל לא חסרות דרכים אחרות).

מה שאני צריך לדאוג להפיץ בצורה אמינה:

1. את המפתח (הציבורי) של הרשות המאשרת שלי לכל לקוח
2. ליצור ברשות המאשרת שלי מפתח (סודי) לכל לקוח ולהעביר אותו ללקוח.

רק מי שיש לו תעודה חתומה מזוהה כלקוח.

במקום (2) הייתי יכול ליצור את המפתח הסודי אצל הלקוח ולהעביר אותו לחתימה אצל השרת. זה יותר בטוח, אבל במקרה שלי יש לי ערוצים בטוח (זמני – חיבור ssh) בין השרת ללקוח, ולכן אני מעדיף את הדרך הפשוטה יותר.

אם מדובר רק על שרת openvpn אחד עם מעט משתמשים, ואם פרוצדורת ההתקנה שלך כוולת ממילא התקנת תעודה של רשות האישור, כדאי לשקול לעבוד עם רשות אישור פרטית כדי לפשט את ההתקנה.

]]>