https://opennet.ru/openforum/vsluhforumID6/19550.html Сейчас DMVPN работает на пре-шаред ключах. Хочу перевести на сертификаты, но столкнулся с вопросом а как сделать отказоустойчивость?<br><br>Т.е. если сделать СА сервер например в Москве и когда нет света, или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы.<br>RA - я так понимаю не спасает ситуацию, т.к. он всего лишь некий прокси<br>а subordinate CA - получается, что половину роутеров вешать на один СА, половину на другой и при этом иметь некий ROOT CA. У меня точек не более 30. Наверное иерархическая структура для такого малого количества точек это излишество<br><br>Возможно я что-то неправильно понимаю, подскажите идею как?<br> https://opennet.ru/openforum/vsluhforumID6/19550.html#2 Mon, 31 Aug 2009 11:59:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;лишь некий прокси <br>&gt;&gt;а subordinate CA - получается, что половину роутеров вешать на один СА, <br>&gt;&gt;половину на другой и при этом иметь некий ROOT CA. У <br>&gt;&gt;меня точек не более 30. Наверное иерархическая структура для такого малого <br>&gt;&gt;количества точек это излишество <br>&gt;&gt;<br>&gt;&gt;Возможно я что-то неправильно понимаю, подскажите идею как? <br>&gt;<br>&gt;Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в <br>&gt;филиалах, но этот метод немного снижает секурность всей схемы. <br><br>Да, согласен, отключить проверку проще всего. Но не хочется так.<br><br>Есть вариант (пока я не понял как) вместо дефолтного метода, использовать CDP метод и размещать CRL лист где-то на стороне, но пока не понял как это все сделать. <br> https://opennet.ru/openforum/vsluhforumID6/19550.html#1 Mon, 31 Aug 2009 10:57:48 GMT &gt;[оверквотинг удален]<br>&gt;или отвалился интернет-канал в москве, то региональные роутеры не поднимут каналы. <br>&gt;<br>&gt;RA - я так понимаю не спасает ситуацию, т.к. он всего <br>&gt;лишь некий прокси <br>&gt;а subordinate CA - получается, что половину роутеров вешать на один СА, <br>&gt;половину на другой и при этом иметь некий ROOT CA. У <br>&gt;меня точек не более 30. Наверное иерархическая структура для такого малого <br>&gt;количества точек это излишество <br>&gt;<br>&gt;Возможно я что-то неправильно понимаю, подскажите идею как? <br><br>Сталкивался с подомными проблемами, выкрутился отключением проверки отзыва сертификата на роутерах в филиалах, но этот метод немного снижает секурность всей схемы. <br><br>