为了连接付费的 IKEv2 服务器,需要导入对方提供的证书,那么,证书目的应该设定为哪些呢?

2015-11-25 17:45:02 +08:00
 V69EX

导入证书时,默认是所有目的,感觉这是个很大的安全隐患,如果这个 v.p.n 服务器劫持我的通信,完全有可能签署一个木马程序扔给我,还能让我看不出破绽。

那么,仅为了连接这个 v.p.n 的话,证书应该选择哪些“目的”呢?搜索了一会,貌似没人关心过这问题。

6404 次点击
所在节点    问与答
28 条回复
yexm0
2015-11-25 17:57:45 +08:00
因为这没必要,人家要是打算干坏事直接在服务器上记录下你的访问数据不更方便.
V69EX
2015-11-25 18:16:27 +08:00
@yexm0 网络通信数据倒不要紧,敢从他那儿经过就表明我不担心。我担忧的是下载的可执行文件被篡改。
V69EX
2015-11-25 18:19:34 +08:00
哦,上面的话说得可能有点自相矛盾。我的意思其实就是,网络通信数据被 v.p.n 获得不要紧,要紧的是可执行文件有可能被篡改。
V69EX
2015-11-25 18:20:56 +08:00
毕竟一个“所有目的”的证书,是可以用于签署文件的。
V69EX
2015-11-25 18:22:57 +08:00
看来还是继续用 pptp/l2tp 算了,唉。
mfaner
2015-11-25 18:25:15 +08:00
那就不要用自签证书的 vpn 好了
wdlth
2015-11-25 18:25:53 +08:00
只留最小的,身份验证等,像代码签名什么的就不要。
sunyang
2015-11-25 18:29:03 +08:00
自己搭建一个也贵不了多少吧? 有些白菜价服务器,比你付费的都便宜
jun0205
2015-11-25 18:29:27 +08:00
找那种不是自签证书的,可以不用导入证书。
自己用的 ikev2 都不用自签证书了。
zqqf16
2015-11-25 18:55:59 +08:00
这都收费了,就不能去买证书么😞
V69EX
2015-11-25 20:54:14 +08:00
@zqqf16 就是嘛,他们的网站就有合法签署的证书, v.p.n 却要让用户导入他们自签署的,怪事。。。
V69EX
2015-11-25 20:55:21 +08:00
@jun0205
@mfaner
介绍个资费低的呗。。。。
V69EX
2015-11-25 21:01:35 +08:00
@sunyang 曾经想过自己买 VPS ,结果最便宜的仍超出我的计划。我翻_墙不为别的,仅仅 Google play ,一月 1G 流量足够了,我现在用的这个只要 10 块钱,只要 VIP 流量不用完,每月都有 1G 免费流量,基本可以一直用下去了。。。:D

Google 搜索我靠 hosts 解决,其它网站找 free ssl web proxy 。。。
Luzifer
2015-11-25 23:09:12 +08:00
AWS EC2 免费一年每月 15G , 速度还杠杠滴
yexm0
2015-11-25 23:15:45 +08:00
求是 ss.5 块钱每个月,一堆节点随便你挑
Quaintjade
2015-11-25 23:26:14 +08:00
那不是服务器证书,而是 CA 证书。
你用的 ikev2 服务器应该是靠证书登录的吧?那么就必须信任这个 CA 证书,否则你的电脑会直接拒绝证书认证。

CA 证书虽然也能申请,但会麻烦很多。
Quaintjade
2015-11-25 23:29:21 +08:00
@jun0205
那是用来证书登陆的 CA 证书,除了 startcom 还能从哪里搞?

@zqqf16
显然不是域名证书,应该是 CA 证书,不是很便宜。
zqqf16
2015-11-26 12:45:03 +08:00
@Quaintjade 如果服务器端的证书是授信的 CA 签发的,就不用再让用户安装 CA 了。
服务商完全可以去买个证书作为未批嗯服务器的证书
Quaintjade
2015-11-26 13:23:49 +08:00
@zqqf16
不是的。
你说的是 server cert ,只用于验证域名是否正确。
我说的是 ca cert 和由该 ca cert 签发的 client cert ,用于证书登录,与 server cert 无关。服务商必须拥有这个 ca cert ,而不仅仅是由受信任 CA 签发一张服务器证书。
zqqf16
2015-11-26 13:53:34 +08:00
@Quaintjade 好吧,我以为装的是签发服务端证书的 CA 证书。
不过话说回来,完全可以用 PSK 认证啊,证书多麻烦……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/238882

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX