OT: VPN pro Windows klienty

Miroslav Prymek m.prymek at gmail.com
Tue Mar 29 00:11:35 CEST 2011


On 28.3.2011, at 20:57, Dan Lukes wrote:

> On 03/28/11 20:19, Miroslav Prymek:
>> Jasne, existuji zpusoby, jak to implementovat, ale prijde mi, ze to obecne pravidlo "jsi certifikovany pomoci spravne CA,
>> tudiz se muzes pripojit" je trochu divne.
> 
> Pokdu ona CA existuje prave k tomuto ucelu a tudiz drzeni jejiho platneho certifikatu overuje prave toto jedine pravo, tak by to divne byt nemuselo.
> 

Jesteze se stejne jako OpenVPN nechova kazdy software... Ja bych teda dvacet CA udrzovat nechtel :)

>> revokaci certifikatu - teda imho zbytecne slozite
> 
> Kdyz ona revokace k certifikatum tak nejak neoddelitelen patri - bez nich nemohou certifikaty dobre fungovat nejen k tomuto ucelu, ale vlastne naprosto k zadnemu, ktery me zrovna napada ...

To jo, ja ten problem vidim trochu jinde: certifikuju stroj (CN=vencuv_notebook), nebo jeho nejakou roli (CN=vencuv_notebook_VPN_client)?
Mne prijde docela logicky pouzivat co nejmin certifikatu (pokud to nema bezpecnostni dopad) a teda radeji certifikovat stroj
nez roli. A pak je revokace k nicemu...

M.


More information about the Users-l mailing list