Комментарии 4
Хотелось бы обратить ваше внимание на некоторые моменты.
1. У вас на сервере cipher AES-256-CBC
, а в клиенте cipher AES-256-GCM
.
2. На клиенте auth SHA256
, но на сервере вообще не указан.
3. Обратите внимание на возможность tls-crypt-v2
. И на список.
4. Не увидел в статье, но MS Server 2016+ поддерживает ec
алгоритмы. Можно проверить certutil -displayEccCurve
. Если там есть возможность использовать ec
, то dh
становится лишним.
Спасибо! Тоже вижу мелкие недочеты, но, к сожаленю статью больше не отредактировать. "Новый" редактор зависает намертво.
по п.4 с EC пока не эксперементировал в этой связке. Попробую, но пока "корень CA" на RSA и безопасность достаточно выскакая можно не торопиться. А еще у относительно старых TPM есть проблемы с ec.
Сертификат пользователя («фактор владения», расположен в хранилище сертификатов компьютера пользователя, можно сделать не экспортируемым)
Фактор владения приватным ключом!
Сертификат всего лишь свидетельство владения приватным ключом, в котором указано кому выдано свидетельство и кем. У сертификата не может быть фактора владения, т.к. сертификаты публичны.
Корпоративный OpenVPN, или как сделать тигра из кошки