The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DMVPN на сертификатах"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"DMVPN на сертификатах"  +/
Сообщение от andr email(??) on 31-Авг-09, 11:40 
Сейчас DMVPN работает на пре-шаред ключах. Хочу перевести на сертификаты, но столкнулся с вопросом а как сделать отказоустойчивость?

Т.е. если сделать СА сервер например в Москве и когда нет света, или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
RA -  я так понимаю не спасает ситуацию, т.к. он всего лишь некий прокси
а subordinate CA - получается, что половину роутеров вешать на один СА, половину на другой и при этом иметь некий ROOT CA. У меня точек не более 30. Наверное иерархическая структура для такого малого количества точек это излишество

Возможно я что-то неправильно понимаю, подскажите идею как?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DMVPN на сертификатах"  +/
Сообщение от RET email(ok) on 31-Авг-09, 14:57 
>[оверквотинг удален]
>или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
>
>RA -  я так понимаю не спасает ситуацию, т.к. он всего
>лишь некий прокси
>а subordinate CA - получается, что половину роутеров вешать на один СА,
>половину на другой и при этом иметь некий ROOT CA. У
>меня точек не более 30. Наверное иерархическая структура для такого малого
>количества точек это излишество
>
>Возможно я что-то неправильно понимаю, подскажите идею как?

Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "DMVPN на сертификатах"  +/
Сообщение от andr email(??) on 31-Авг-09, 15:59 
>[оверквотинг удален]
>>лишь некий прокси
>>а subordinate CA - получается, что половину роутеров вешать на один СА,
>>половину на другой и при этом иметь некий ROOT CA. У
>>меня точек не более 30. Наверное иерархическая структура для такого малого
>>количества точек это излишество
>>
>>Возможно я что-то неправильно понимаю, подскажите идею как?
>
>Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в
>филиалах, но этот метод немного снижает секурность всей схемы.

Да, согласен, отключить проверку проще всего. Но не хочется так.

Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру