> artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: > > >>> Да, аутентификация по сертификату есть, если вы купите у своего > >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> > >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> используя сервис аля dyndns. > >> > > Вот хотелось поподробнее про Let's Encrypt. > > Эта идея сначала была, но загнулась, и теперь мои сертификаты > > самоподписанные. > > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > > доменное имя? > > Да. > > Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > сгенерированный по ходу операции подписи файл со случайным именем, > подписанный соответствующим ключом. И выдается такой сертификат на 3 > месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя.
> Для локалки так себе решение. Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > Возможно, свой CA (не самоподписанные > сертификаты, а плюс лишние два часа времени однократно, и таже > процедура, но со своим корневым сертификатом) будет умнее. Согласен. Так и сделаю, видимо. Как раз, мне нужен один корневой сертификат, а плодить 10 - не лучшая идея. > Но > преимущество Let's Encrypt (на данный момент политических игр в области > PKI) в том, что про подписанные им сертификаты не надо ничего вручную > объяснять каждому клиенту. А про свой CA надо. > В данном случае, это не является для меня проблемой.
