¿Cómo utilizar certificados públicos con OpenVPN en Synology DSM?

Question

No hagas eso.

En primer lugar, los propios manuales de OpenVPN sugieren que no se recomienda utilizar una CA pública. OpenVPN confiará en cualquier certificado publicado por esa CA. Dudo que espere que cualquier titular del certificado emitido por la CA de terceros pueda conectarse a su VPN.

En segundo lugar, no tiene sentido utilizar CA pública para servicios privados. Gracias a la VPN, es un servicio privado que no espera que extraños se conecten o confíen en su servicio. Tiene un punto de distribución de certificado raíz válido y conveniente, junto con el archivo de configuración de VPN (probablemente integrado en él), que debe distribuir a los clientes de todos modos. También tiene un almacén de certificados independiente. Todo esto requiere una VPN privada. Por lo tanto, no hay desventajas en usar una CA privada para VPN en comparación con, por ejemplo, usarla para HTTPS público, porque usted distribuye el certificado de CA. Por cierto, incluso HTTPS tiene un uso válido para la CA privada: en el mismo lugar que VPN, para la validación de certificados de cliente; en ese caso, aún puede utilizar un certificado público para el servidor, pero los certificados del cliente están firmados con su CA privada.

En tercer lugar, Let's Encrypt emite certificados validados de dominio conServidor web TLSobjetivo. Si OpenVPN está configurado correctamente, solo podrá instalar dicho certificado en el servidor. Los certificados de cliente deben tener un rasgo inverso:Cliente web TLSobjetivo. Let's Encrypt no emite dichos certificados.

OpenVPN fue diseñado teniendo en cuenta una CA especial y privada, destinada únicamente a esta VPN. Proporcionan un conjunto de scripts para crear dicha CA, se llama EasyRSA. Es realmente fácil de usar. Si no desea usarlo (y tiene una razón válida), puede usar otra cosa para crear esta CA privada; por ejemplo, una vez empleamos los Servicios de certificación de MS AD para eso.

Answer 1

No hagas eso.

En primer lugar, los propios manuales de OpenVPN sugieren que no se recomienda utilizar una CA pública. OpenVPN confiará en cualquier certificado publicado por esa CA. Dudo que espere que cualquier titular del certificado emitido por la CA de terceros pueda conectarse a su VPN.

En segundo lugar, no tiene sentido utilizar CA pública para servicios privados. Gracias a la VPN, es un servicio privado que no espera que extraños se conecten o confíen en su servicio. Tiene un punto de distribución de certificado raíz válido y conveniente, junto con el archivo de configuración de VPN (probablemente integrado en él), que debe distribuir a los clientes de todos modos. También tiene un almacén de certificados independiente. Todo esto requiere una VPN privada. Por lo tanto, no hay desventajas en usar una CA privada para VPN en comparación con, por ejemplo, usarla para HTTPS público, porque usted distribuye el certificado de CA. Por cierto, incluso HTTPS tiene un uso válido para la CA privada: en el mismo lugar que VPN, para la validación de certificados de cliente; en ese caso, aún puede utilizar un certificado público para el servidor, pero los certificados del cliente están firmados con su CA privada.

En tercer lugar, Let's Encrypt emite certificados validados de dominio conServidor web TLSobjetivo. Si OpenVPN está configurado correctamente, solo podrá instalar dicho certificado en el servidor. Los certificados de cliente deben tener un rasgo inverso:Cliente web TLSobjetivo. Let's Encrypt no emite dichos certificados.

OpenVPN fue diseñado teniendo en cuenta una CA especial y privada, destinada únicamente a esta VPN. Proporcionan un conjunto de scripts para crear dicha CA, se llama EasyRSA. Es realmente fácil de usar. Si no desea usarlo (y tiene una razón válida), puede usar otra cosa para crear esta CA privada; por ejemplo, una vez empleamos los Servicios de certificación de MS AD para eso.

¿Cómo utilizar certificados públicos con OpenVPN en Synology DSM?

Respuesta1

información relacionada