OT: VPN pro Windows klienty

[Dan Lukes]

On 03/29/11 00:11, Miroslav Prymek:
>> Pokdu ona CA existuje prave k tomuto ucelu a tudiz drzeni jejiho platneho certifikatu overuje prave toto jedine pravo, tak by to divne byt nemuselo.
> Jesteze se stejne jako OpenVPN nechova kazdy software... Ja bych teda dvacet CA udrzovat nechtel :)

Vidim zasadni rozdil mezi 0 a 1.
Shledavam rozeznatelny rozdil mezi 1 a 2.
Ale mezi 2 a 100 uz zadny podstatny rozdil nevidim.

Your mileage may vary.

>> Kdyz ona revokace k certifikatum tak nejak neoddelitelen patri - bez nich nemohou certifikaty dobre fungovat nejen k tomuto ucelu, ale vlastne naprosto k zadnemu, ktery me zrovna napada ...
>
> To jo, ja ten problem vidim trochu jinde: certifikuju stroj (CN=vencuv_notebook), nebo jeho nejakou roli (CN=vencuv_notebook_VPN_client)?

Jak chces. To k jakemu ucelu a s jakym CN vydavas certifikaty te-ktere 
(vlastni) CA si urcujes ty - predpokladam, ze podle konkretnich potreb 
resene ulohy a pouziteho software. A pokud si ve vztahu k resene uloze 
a/nebo pouzitemu software zvolis nevhodne, tak se daji cekat komplikace.

> Mne prijde docela logicky pouzivat co nejmin certifikatu

Jisteze je hloupe mit vic certifikatu nez potrebuju. Otazka je, jestli 
je az tak velka vyhoda mit jich mene nez je potreba ;-)

> A pak je revokace k nicemu...

Revokace neni NIKDY k nicemu, protoze prislusny privatni klic muze byt 
vzdy kompromitovan.

To uz jsme ale opravdu odbocili jeste o trochu vic nez je tu zvykem.

Dan