y-konstantin 17 сен в 13:24

Корпоративный OpenVPN, или как сделать тигра из кошки

16 мин

6.8K

Блог компании ГК ICLOpen source*IT-инфраструктура*Сетевые технологии*

Обзор

Комментарии 4

VenbergV 17 сен в 17:28

Хотелось бы обратить ваше внимание на некоторые моменты.
1. У вас на сервере cipher AES-256-CBC, а в клиенте cipher AES-256-GCM.
2. На клиенте auth SHA256, но на сервере вообще не указан.
3. Обратите внимание на возможность tls-crypt-v2. И на список.
4. Не увидел в статье, но MS Server 2016+ поддерживает ec алгоритмы. Можно проверить certutil -displayEccCurve. Если там есть возможность использовать ec, то dh становится лишним.

y-konstantin 18 сен в 11:28

Спасибо! Тоже вижу мелкие недочеты, но, к сожаленю статью больше не отредактировать. "Новый" редактор зависает намертво.

по п.4 с EC пока не эксперементировал в этой связке. Попробую, но пока "корень CA" на RSA и безопасность достаточно выскакая можно не торопиться. А еще у относительно старых TPM есть проблемы с ec.

ggo 18 сен в 10:13

Сертификат пользователя («фактор владения», расположен в хранилище сертификатов компьютера пользователя, можно сделать не экспортируемым)

Фактор владения приватным ключом!

Сертификат всего лишь свидетельство владения приватным ключом, в котором указано кому выдано свидетельство и кем. У сертификата не может быть фактора владения, т.к. сертификаты публичны.

y-konstantin 18 сен в 12:15

Да, вы правы речь идет о закрытом ключе RSA, которым управляет используемый поставщик служб шифрования (CSP) (в нашем примере)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий