OpenVPN: ¿Ubicación de almacenamiento y creación de claves / certificados?

Question

OpenVPN: ¿Ubicación de almacenamiento y creación de claves / certificados?

#1 de paj28 (3 votos)

4

Estoy reconfigurando alguna infraestructura OpenVPN para que sea más segura que la original y quería una guía.

Se observa que la mejor política de seguridad es mantener a la Autoridad de certificación (CA) fuera de línea y separada del servidor, pero no hay mucha orientación sobre cómo lograrlo.

Si tengo una CA, un servidor y un cliente, ¿a dónde van todas las claves / certificados (ca.key / crt, server.key / crt, client.key / crt)?

Además, ¿cuál es la mejor práctica en la generación de estos archivos? He leído que deben generarse en el servidor, y los archivos * .csr se pueden eliminar una vez que el certificado esté firmado.

public-key-infrastructure certificate-authority server openvpn client

pregunta Christopher Kinnee 07.09.2014 - 23:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificate-authority server openvpn client

Discos duros de solo lectura ¿Dónde puede fallar 2 factores en Google?

score 3 · Accepted Answer

Me gusta esto:

Máquina de CA: ca.crt, ca.key
Servidor: ca.crt, server.crt, server.key
Clientes: client.crt, client.key, ca.crt

Notablemente, ca.key NO va al servidor. Si el servidor está comprometido, el atacante no obtendrá ca.key.

Con easy-rsa, genera la clave y el certificado en la máquina de CA y los envía al cliente. Técnicamente, no es necesario que los conserve, aunque es una buena idea conservar los certificados en caso de que más tarde necesite revocarlos. En ese caso, manténgalos en la máquina de CA.