forum.opennet.ru - "DMVPN на сертификатах" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DMVPN на сертификатах"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DMVPN на сертификатах"		+/–
Сообщение от andr (??) on 31-Авг-09, 11:40
Сейчас DMVPN работает на пре-шаред ключах. Хочу перевести на сертификаты, но столкнулся с вопросом а как сделать отказоустойчивость? Т.е. если сделать СА сервер например в Москве и когда нет света, или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы. RA - я так понимаю не спасает ситуацию, т.к. он всего лишь некий прокси а subordinate CA - получается, что половину роутеров вешать на один СА, половину на другой и при этом иметь некий ROOT CA. У меня точек не более 30. Наверное иерархическая структура для такого малого количества точек это излишество Возможно я что-то неправильно понимаю, подскажите идею как?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

DMVPN на сертификатах, RET, 14:57 , 31-Авг-09, (1)

DMVPN на сертификатах, andr, 15:59 , 31-Авг-09, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "DMVPN на сертификатах" +/–

Сообщение от RET (ok) on 31-Авг-09, 14:57

>[оверквотинг удален]
>или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
>
>RA - я так понимаю не спасает ситуацию, т.к. он всего
>лишь некий прокси
>а subordinate CA - получается, что половину роутеров вешать на один СА,
>половину на другой и при этом иметь некий ROOT CA. У
>меня точек не более 30. Наверное иерархическая структура для такого малого
>количества точек это излишество
>
>Возможно я что-то неправильно понимаю, подскажите идею как?
Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "DMVPN на сертификатах" +/–

Сообщение от andr (??) on 31-Авг-09, 15:59

>[оверквотинг удален]
>>лишь некий прокси
>>а subordinate CA - получается, что половину роутеров вешать на один СА,
>>половину на другой и при этом иметь некий ROOT CA. У
>>меня точек не более 30. Наверное иерархическая структура для такого малого
>>количества точек это излишество
>>
>>Возможно я что-то неправильно понимаю, подскажите идею как?
>
>Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в
>филиалах, но этот метод немного снижает секурность всей схемы.
Да, согласен, отключить проверку проще всего. Но не хочется так.
Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DMVPN на сертификатах"		+/–
Сообщение от RET (ok) on 31-Авг-09, 14:57
>[оверквотинг удален] >или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы. > >RA - я так понимаю не спасает ситуацию, т.к. он всего >лишь некий прокси >а subordinate CA - получается, что половину роутеров вешать на один СА, >половину на другой и при этом иметь некий ROOT CA. У >меня точек не более 30. Наверное иерархическая структура для такого малого >количества точек это излишество > >Возможно я что-то неправильно понимаю, подскажите идею как? Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "DMVPN на сертификатах"		+/–
	Сообщение от andr (??) on 31-Авг-09, 15:59
	>[оверквотинг удален] >>лишь некий прокси >>а subordinate CA - получается, что половину роутеров вешать на один СА, >>половину на другой и при этом иметь некий ROOT CA. У >>меня точек не более 30. Наверное иерархическая структура для такого малого >>количества точек это излишество >> >>Возможно я что-то неправильно понимаю, подскажите идею как? > >Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в >филиалах, но этот метод немного снижает секурность всей схемы. Да, согласен, отключить проверку проще всего. Но не хочется так. Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору