Сейчас DMVPN работает на пре-шаред ключах. Хочу перевести на сертификаты, но столкнулся с вопросом а как сделать отказоустойчивость?Т.е. если сделать СА сервер например в Москве и когда нет света, или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
RA - я так понимаю не спасает ситуацию, т.к. он всего лишь некий прокси
а subordinate CA - получается, что половину роутеров вешать на один СА, половину на другой и при этом иметь некий ROOT CA. У меня точек не более 30. Наверное иерархическая структура для такого малого количества точек это излишествоВозможно я что-то неправильно понимаю, подскажите идею как?
>[оверквотинг удален]
>или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.
>
>RA - я так понимаю не спасает ситуацию, т.к. он всего
>лишь некий прокси
>а subordinate CA - получается, что половину роутеров вешать на один СА,
>половину на другой и при этом иметь некий ROOT CA. У
>меня точек не более 30. Наверное иерархическая структура для такого малого
>количества точек это излишество
>
>Возможно я что-то неправильно понимаю, подскажите идею как?Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы.
>[оверквотинг удален]
>>лишь некий прокси
>>а subordinate CA - получается, что половину роутеров вешать на один СА,
>>половину на другой и при этом иметь некий ROOT CA. У
>>меня точек не более 30. Наверное иерархическая структура для такого малого
>>количества точек это излишество
>>
>>Возможно я что-то неправильно понимаю, подскажите идею как?
>
>Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в
>филиалах, но этот метод немного снижает секурность всей схемы.Да, согласен, отключить проверку проще всего. Но не хочется так.
Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать.