artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300:
>>> Да, аутентификация по сертификату есть, если вы купите у своего >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса >> используя сервис аля dyndns. >> > Вот хотелось поподробнее про Let's Encrypt. > Эта идея сначала была, но загнулась, и теперь мои сертификаты > самоподписанные. > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > доменное имя? Да. Причем по этому имени должен быть доступен веб-сервер, и уметь отдать сгенерированный по ходу операции подписи файл со случайным именем, подписанный соответствующим ключом. И выдается такой сертификат на 3 месяца, так что рекомендуемая частота перевыпуска - раз в месяц. Для локалки так себе решение. Возможно, свой CA (не самоподписанные сертификаты, а плюс лишние два часа времени однократно, и таже процедура, но со своим корневым сертификатом) будет умнее. Но преимущество Let's Encrypt (на данный момент политических игр в области PKI) в том, что про подписанные им сертификаты не надо ничего вручную объяснять каждому клиенту. А про свой CA надо.
