The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
DMVPN на сертификатах, !*! andr, 31-Авг-09, 11:40  [смотреть все]
Сейчас DMVPN работает на пре-шаред ключах. Хочу перевести на сертификаты, но столкнулся с вопросом а как сделать отказоустойчивость?

Т.е. если сделать СА сервер например в Москве и когда нет света, или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
RA -  я так понимаю не спасает ситуацию, т.к. он всего лишь некий прокси
а subordinate CA - получается, что половину роутеров вешать на один СА, половину на другой и при этом иметь некий ROOT CA. У меня точек не более 30. Наверное иерархическая структура для такого малого количества точек это излишество

Возможно я что-то неправильно понимаю, подскажите идею как?

Ответить | Сообщить модератору
  • DMVPN на сертификатах, !*! RET, 14:57 , 31-Авг-09 (1)
    >[оверквотинг удален]
    >или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
    >
    >RA -  я так понимаю не спасает ситуацию, т.к. он всего
    >лишь некий прокси
    >а subordinate CA - получается, что половину роутеров вешать на один СА,
    >половину на другой и при этом иметь некий ROOT CA. У
    >меня точек не более 30. Наверное иерархическая структура для такого малого
    >количества точек это излишество
    >
    >Возможно я что-то неправильно понимаю, подскажите идею как?

    Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы.

    Ответить | Сообщить модератору
    • DMVPN на сертификатах, !*! andr, 15:59 , 31-Авг-09 (2)
      >[оверквотинг удален]
      >>лишь некий прокси
      >>а subordinate CA - получается, что половину роутеров вешать на один СА,
      >>половину на другой и при этом иметь некий ROOT CA. У
      >>меня точек не более 30. Наверное иерархическая структура для такого малого
      >>количества точек это излишество
      >>
      >>Возможно я что-то неправильно понимаю, подскажите идею как?
      >
      >Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в
      >филиалах, но этот метод немного снижает секурность всей схемы.

      Да, согласен, отключить проверку проще всего. Но не хочется так.

      Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать.

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру