Можем ли мы использовать сертификат, подписанный CA, например, давайте зашифруем в softtether vpn сервер?
Я пытаюсь прикрепить сертификат шифрования данных к моему мягкому серверу vpn, но не нашел для этого способа. Можем ли мы использовать сертификат, подписанный CA, например, зашифровать на сервере vpn? Если да, укажите процесс.
Основная проблема при использовании сертификатов Let's Encrypt с VPN-сервером заключается в следующем. что срок их действия действительно короткий, всего 3 месяца. Это означает, что есть некоторые предварительные условия:
- Вы должны иметь возможность автоматизировать загрузку сертификата и закрытого ключа после их обновления Certbot. К счастью, у Softether есть Утилита управления командной строкой. Вы должны быть знакомы как минимум с 6.2 Общее использование
vpncmd, чтобы понять шаги 1 и 3 в этом ответе. - VPN-сервер должен быть общедоступным через HTTP-порт 80 для HTTP-01 Challenge. Кроме того, сервер Softether VPN не имеет встроенного вызова HTTP-01, поэтому для него требуется внешний Certbot.
Действия:
Вы должны добавить Let's Encrypt в качестве доверенного ЦС для VPN-клиентов.
Текущие активные промежуточные сертификаты можно найти на странице Цепочки доверия.
Команда
CertAdd [путь], из 6.5.6 «CertAdd»: добавить доверенный сертификат ЦС.Этот шаг, вероятно, возможен и с графическим интерфейсом, но я не специалист по графическому интерфейсу. :)
Установите и настройте Certbot: инструкции для вашего веб-сервера и системы.
Создайте скрипт/задачу/cronjob, который периодически обновляет сертификат и ключ.
Certbot обновляет все сертификаты, срок действия которых истекает через месяц.Таким образом, срок действия старого сертификата истечет за месяц, но чтобы свести к минимуму вероятность сбоя, я бы рекомендовал запускать этот скрипт не реже одного раза в неделю.
Команда из 6.3.20 "ServerCertSet": Установить SSL-сертификат и закрытый ключ VPN-сервера:
ServerCertSet [/LOADCERT:cert] [/LOADKEY:key]/LOADCERTУкажите используемый файл сертификата формата X.509./LOADKEYУкажите файл закрытого ключа в кодировке Base 64, который будет использоваться сертификатом.Например, для Debian Linux команда может быть следующей:
vpncmd /server localhost /password:password /adminhub:DEFAULT /cmdСерверсертсет\ /LOADCERT:/etc/letsencrypt/live/vpn.example.com/cert.pem \ /LOADKEY:/etc/letsencrypt/live/vpn.example.com/privkey.pem