OpenForum RSS: VPN на сертификатах https://opennet.ru/openforum/vsluhforumID6/18976.html Господа, подскажите. Я не до конца понимаю схему работы.<br>Решил поднять туннели не на пре-шаред ключе а на сертификатах, в качестве СА-сервера 28хх роутер.<br>Итак я провел эксперимент, один роутер СА-сервер, два других клиенты. Сертификаты раздал, каждый с СА-сервером коннектится нормально, тунель поднимается.<br>Но, между друг-другом клиентские роутеры поднимают только тогда, когда доступен СА-сервер.<br><br>в логе видем:<br>000097: Jun 1 16:32:27.076 MSK: CRYPTO_CS: received a SCEP request, 1678 bytes<br>000098: Jun 1 16:32:27.076 MSK: CRYPTO_CS: read SCEP: registered and bound service SCEP_READ_DB_8<br>000099: Jun 1 16:32:27.088 MSK: CRYPTO_CS: scep msg type - 22<br>000100: Jun 1 16:32:27.088 MSK: CRYPTO_CS: trans id - 1<br>000101: Jun 1 16:32:27.108 MSK: CRYPTO_CS: read SCEP: unregistered and unbound service SCEP_READ_DB_8<br>000102: Jun 1 16:32:27.112 MSK: CRYPTO_CS: received a GetCRL request<br>000103: Jun 1 16:32:27.112 MSK: CRYPTO_CS: write SCEP: registered and bound service SCEP_WRTE_DB_8<br>000104: Jun 1 16:32:27 VPN на сертификатах (andr) https://opennet.ru/openforum/vsluhforumID6/18976.html#4 Fri, 05 Jun 2009 06:33:02 GMT Встал вопрос об организации бекапного СА сервера. Для этих целей насколько я понял используется subordinate сервер, на котором ты используешь те же rsa ключи.<br>Т.е. задача такая. VPN на сертификатах, куча туннелей, но если недоступен корневой СА сервер, то чтобы revocation-check проводился на subordinate?<br>такое реально?или я неправильно понимаю структуру?<br> VPN на сертификатах (RET) https://opennet.ru/openforum/vsluhforumID6/18976.html#3 Tue, 02 Jun 2009 07:46:45 GMT Была похожая проблемма, не поднималься тунель от филиала до центрального офиса пока циска в филиале не проверит сертификат на CA-сервере который стоял во внутренней сетке главного офиса (а туда из филиала без поднятого тунеля не добраться). Решил отключением проверки отзыва сертификата на роутерах в филиалах:<br><br>crypto pki trustpoint my-cert<br> revocation-check none <br> VPN на сертификатах (andr) https://opennet.ru/openforum/vsluhforumID6/18976.html#2 Mon, 01 Jun 2009 13:53:33 GMT &gt;проверка CRL? <br><br>логично<br>а схема CA+Subordinate будет отказоустойчиво работать. можно настроить, чтобы чекил если не на одном, то на другом. Типа если СА упадет, то пол страны не оставить без сети<br> VPN на сертификатах (ilya) https://opennet.ru/openforum/vsluhforumID6/18976.html#1 Mon, 01 Jun 2009 13:02:51 GMT проверка CRL?<br>