Товарищи cisco'воды может кто сталкивался с такой задачей/проблемой:
Построение VPN IPSec Site-to-Site на основе rsa-signatures..., все хорошо, и замечательно если не считать того что необходим во внешке CA(RA) сервер, что вообщем-то не очень секурно. Использовать другие CA тоже нет смысла.
По сути CA даже есть но, находится он в сети одного из peer'ов. Получить подписанные сертификаты не проблема, пока существует pre-shared key, а вот проверить их... после удаления pre-shared key.
Как можно решить по другому проблему??Надеюсь на вашу помощь...
>Товарищи cisco'воды может кто сталкивался с такой задачей/проблемой:
>Построение VPN IPSec Site-to-Site на основе rsa-signatures..., все хорошо, и замечательно если
>не считать того что необходим во внешке CA(RA) сервер, что вообщем-то
>не очень секурно. Использовать другие CA тоже нет смысла.
>По сути CA даже есть но, находится он в сети одного из
>peer'ов. Получить подписанные сертификаты не проблема, пока существует pre-shared key, а
>вот проверить их... после удаления pre-shared key.
>Как можно решить по другому проблему??
>
>Надеюсь на вашу помощь...
ни понял.
1. чем не безопасен сервер во внешней сети? тем более если сертификаты не автоматом генерятся
2. что мешает поднять CA-сервер на маршрутизаторе? и строго ограничить доступ к нему только с необходимых peer`ов?