18.04.2018 14:14, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Tue, 17 Apr 2018 23:19:39 +0300: > > >> >>> Да, аутентификация по сертификату есть, если вы купите у своего > >> >>> провайдера белый IP-адрес, то вам не нужны самоподписанные > сертификаты, > >> >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> >> > >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> >> используя сервис аля dyndns. > >> >> > >> > Вот хотелось поподробнее про Let's Encrypt. > >> > Эта идея сначала была, но загнулась, и теперь мои сертификаты > >> > самоподписанные. > >> > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > >> > доменное имя? > >> > >> Да. > >> > >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > >> сгенерированный по ходу операции подписи файл со случайным именем, > >> подписанный соответствующим ключом. И выдается такой сертификат на 3 > >> месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > >> > > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя. > > Это автомат. > > >> Для локалки так себе решение. > > Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > > Тогда может иметь смысл. А может не иметь. Я для своих целей (набор > exim'ов, OpenVPN) пользуюсь своим CA, там CA, известный браузерам из > коробки, совершенно ни к чему. > LE смысла не имеет: у меня не паблик и список пользователей жёстко ограничен. Собственный CA имеет смысл, вроде. Вопрос только в том, насколько сложно (LDAP тоже казался простым, но свои особенности у каждого сервиса сожрали уйму времени)?
