Como usar certificados públicos com OpenVPN no Synology DSM?

Question

Não faça isso.

Primeiro, os próprios manuais do OpenVPN sugerem que não é recomendado usar uma CA pública. O OpenVPN confiará em qualquer certificado publicado por essa CA. Duvido que você espere que qualquer titular do certificado emitido pela CA de terceiros consiga se conectar à sua VPN.

Em segundo lugar, não faz sentido usar AC públicas para serviços privados. Em virtude da VPN, é um serviço privado que não espera que estranhos se conectem ou confiem no seu serviço. Ele possui um ponto de distribuição de certificado raiz válido e conveniente — junto com o arquivo de configuração da VPN (provavelmente embutido nele), que você deve distribuir aos clientes de qualquer maneira. Também possui um armazenamento de certificados separado. Tudo isso exige uma VPN privada. Portanto, não há desvantagens em usar uma CA privada para VPN em comparação com, digamos, usá-la para HTTPS público, porque você distribui o certificado de CA. A propósito, até o HTTPS tem um uso válido para a CA privada — no mesmo lugar da VPN, para validação de certificado de cliente; nesse caso, você ainda poderá usar o certificado público para o servidor, mas os certificados do cliente serão assinados com sua CA privada.

Terceiro, Let's Encrypt emite certificados validados por domínio comServidor Web TLSpropósito. Ao configurar corretamente o OpenVPN você só pode instalar esse certificado no servidor. Os certificados do cliente devem ter característica reversa —Cliente Web TLSpropósito. Let's Encrypt não emite tais certificados.

O OpenVPN foi projetado tendo em mente uma CA especial e privada, destinada apenas a esta VPN. Eles fornecem um conjunto de scripts para criar tal CA, chamado EasyRSA. É muito fácil de usar. Se não quiser usá-lo (e tiver um motivo válido), você pode usar outra coisa para criar esta CA privada, por exemplo, uma vez empregamos serviços de certificação MS AD para isso.

Answer 1

Não faça isso.

Primeiro, os próprios manuais do OpenVPN sugerem que não é recomendado usar uma CA pública. O OpenVPN confiará em qualquer certificado publicado por essa CA. Duvido que você espere que qualquer titular do certificado emitido pela CA de terceiros consiga se conectar à sua VPN.

Em segundo lugar, não faz sentido usar AC públicas para serviços privados. Em virtude da VPN, é um serviço privado que não espera que estranhos se conectem ou confiem no seu serviço. Ele possui um ponto de distribuição de certificado raiz válido e conveniente — junto com o arquivo de configuração da VPN (provavelmente embutido nele), que você deve distribuir aos clientes de qualquer maneira. Também possui um armazenamento de certificados separado. Tudo isso exige uma VPN privada. Portanto, não há desvantagens em usar uma CA privada para VPN em comparação com, digamos, usá-la para HTTPS público, porque você distribui o certificado de CA. A propósito, até o HTTPS tem um uso válido para a CA privada — no mesmo lugar da VPN, para validação de certificado de cliente; nesse caso, você ainda poderá usar o certificado público para o servidor, mas os certificados do cliente serão assinados com sua CA privada.

Terceiro, Let's Encrypt emite certificados validados por domínio comServidor Web TLSpropósito. Ao configurar corretamente o OpenVPN você só pode instalar esse certificado no servidor. Os certificados do cliente devem ter característica reversa —Cliente Web TLSpropósito. Let's Encrypt não emite tais certificados.

O OpenVPN foi projetado tendo em mente uma CA especial e privada, destinada apenas a esta VPN. Eles fornecem um conjunto de scripts para criar tal CA, chamado EasyRSA. É muito fácil de usar. Se não quiser usá-lo (e tiver um motivo válido), você pode usar outra coisa para criar esta CA privada, por exemplo, uma vez empregamos serviços de certificação MS AD para isso.

Como usar certificados públicos com OpenVPN no Synology DSM?

Responder1

informação relacionada