September 19th, 2016

хотспотов псто

Всем вайфая!

Есть роутер на dd-wrt. точнее - сборка r30631 от 14 сентября сего года.
Пытаюсь настроить на ней chillispot - и что-то как-то не взлетает.
Пробовал и так и сяк... "лучшее", что удавалось добиться - это работы http (https обрубается с connection closed).
Есть подозрение, что не отрабатывает DNS, т.к. ничего не резолвится - ни через внешние DNS ни через сам роутер.
В исключения (UAM) добавлять пробовал и хосты и адреса - без толку.

Посему, коллеги, а подкиньте скринов с настройками, а как оно у вас работает. С версией сборки желательно.
prividen

Своя приусадебная CA

Здравствуйте!
А расскажите мне пожалуйста про благоустройство своей CA.
Сейчас уже есть что-то зайчаточное на openssl + скриптики, хотелось бы и остаться при этом родименьком колхозе, но нужна более лучше продуманная организация.

Есть необходимость выдавать сертификаты сотрудникам, клиентам, серверам, устройствам.
Соответственно, имеет наверное смысл завести для этих категорий intermediate-сертификаты, а самим CA-сертификатом ничего напрямую не подписывать, и ключик от него схоронить подальше в секретное место, и уж конечно нигде не держать его расшифрованным или пароль от него plain-текстом.

Как лучше организовать?
- Каждый IM-сертификат со своим index.txt и CRL или мешать всё в одну кучу?
- Серийные номера смешивать или для каждого типа свой диапазон держать?
- CRL-сертификат, один общий (а кто его подписывать будет, если спрятать CA-ключ), несколько IM-подписанных с дублирующимися серийниками, несколько IM-подписанных раздельных?
- OCSP, на чём делать? openssl для продакшена не годный, OpenCA какой-то не совсем живой, хоть и работает кое-как...

про FreeIPA слышал краем уха, но не хотелось бы связываться - слишком многофункциональный чёрный ящик, слишком далека от Unix-way. :) Хотя если есть интересные обзоры про неё, почитал бы.