server801 писал(а):не обязательно!когда генерятся сертификаты-одновременно генерится и для клиента.к другому не подойдут.в этом вся и фишка !сервер тут уже ни при чем.тут работает служба.тем более когда ключи на сменном носителе и просто при тебе-авторизоваться другим не получится,так как импортируются методом их расположения.вынул флешку-и усе.ну принцип наверно понятен.
а вот поднять VPN server + сертификаты мне не удалось
Действительно не обязательно, но иначе становится ваще не удобно.
Дело в том, что в отличии от OpenVPN, который вы видимо пробовали поднять, ssh работает не по сертификатам а просто по паре открытый/закрытый ключ. Разница в том, что открытый ключ клиента не подписывается сервером. И для данной смемы для авторизации под чужим именем обычно достаточно украсть закрытый ключ, который хранит у себя клиент в виде файла, которого и надо оберегать.
Если вы уверены что я не прав по поводу ключей, то докажите документально.
У современного OpenVPN, вроде как, есть автоматизированные скрипты создания всего необходимого (всех сертификатов и их подписи), то есть процесс упрощен до предела. Воспользовавшись ими всё генерируется в 3-5 команд вроде.