subject:"\[rlug\] openvpn si CA"

Re: [rlug] openvpn si CA

2011-04-05 Fir de Conversatie Mihai Badici

On Monday, April 04, 2011 11:55:56 pm Cristian Mitrana wrote:
 * Eugeniu Patrascu eu...@imacandi.net [04-04-11 19:36]:
 Poti folosi parametrul KeyUsage din certificat.
 In principiu poti da certificat la userii de au nevoie de VPN
 certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in
 certificat si daca nu e IPSec sa nu-l lase sa se conecteze.
 
   Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un
 client sa se poate autentifica la serverul gresit, certificatele client
 fiind emise de acelasi CA.


Da, asta e problema

  certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta.
  
  Imi trebuie deci o modalitate de a lega certificatele emise de serverul
  pentru care sunt emise, dar  in documentatia de openvpn nu gasesc un
  hint in sensul asta.
 
   Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa
 validezi clientul pe server cu un client-script. Dupa CN-ul certificatului
 sau alte metode de extragere si validarea a informatiei din certificat
 (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai
 cum sa interzici unui server sa valideze un certificat 'client', fara a
 face CA-uri intermediare pentru fiecare server.
Probabil ca asta e solutia, trebuie sa vad cum se face scriptul. Ma gandeam ca 
se poate mai simplu, nu cred ca sunt primul care a remarcat problema asta la 
openvpn. 
Merci pentru idei, o sa fac niste teste.

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

[rlug] openvpn si CA

2011-04-04 Fir de Conversatie Mihai Badici

Salut,
Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune:

In momentul de fata, am mai multi clienti independenti care au Openvpn la care 
se autentifica cu certificate. Se intra pe server, se emite certificatul 
userului, se da omului configul si certificatul.

Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa 
construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa 
faca asta dintr-o interfata iar eu sa stau degeaba)

Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care 
au certificat valid emis de CA-ul respectiv.
Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client 
cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis in 
alt scop... mail, web etc, si pe ala l-ar accepta.

Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru 
care sunt emise, dar  in documentatia de openvpn nu gasesc un hint in sensul 
asta.

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Petru Ratiu

2011/4/4 Mihai Badici mihai.bad...@itassist.ro:
 Salut,
 Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune:

 In momentul de fata, am mai multi clienti independenti care au Openvpn la care
 se autentifica cu certificate. Se intra pe server, se emite certificatul
 userului, se da omului configul si certificatul.

 Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa
 construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa
 faca asta dintr-o interfata iar eu sa stau degeaba)

 Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care
 au certificat valid emis de CA-ul respectiv.
 Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client
 cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis 
 in
 alt scop... mail, web etc, si pe ala l-ar accepta.

 Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru
 care sunt emise, dar  in documentatia de openvpn nu gasesc un hint in sensul
 asta.

--client-config-dir si --ccd-exclusive nu ajuta? Vezi si
--username-as-common-name

Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e
pus in variabila de mediu $common_name.

-- 
Petre.
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Mihai Badici

O
  Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare
  client cu certificatul respectiv ; ba chiar cred ca daca as avea un
  certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta.
  
  Imi trebuie deci o modalitate de a lega certificatele emise de serverul
  pentru care sunt emise, dar  in documentatia de openvpn nu gasesc un
  hint in sensul asta.
 
 --client-config-dir si --ccd-exclusive nu ajuta? Vezi si
 --username-as-common-name
 

Nu prea imi e clar, sa inteleg:

--ccd-exclusive
Require, as a condition of authentication, that a connecting client has a 
--client-config-dir file.
Deci clientul va avea musai acest folder.
Ok, in folderul ala ar trebui sa pun ceva deosebit. Dar ce?
So, am  clientul contoso care tocmai a migrat la openvpn.
II fac lui Vasile de la contoso  un config, ii dau certificat. Il oblig sa aiba 
si un folder ccd unde pun un script... care nu stiu deocamdata ce face.

Si mai am un alt client cohovineyard.com, care de asemenea a trecut la openvpn 
satul de jucariile lui Bill.  

Toate certificatele sunt emise de acelasi CA

Bun, ce il impiedica pe Vasile sa schimbe IP-ul din config si sa se conecteze 
la cohovineyard?  Ce e in scriptul ala si nu poate face el?

Probabil ca ar trebui un script server-side care sa verifice numele 
certificatului, de exemplu, iar eu sa am grija ca numele sa fie de forma 
vasile@contoso. Dar speram ca e mai simplu.


 Also, pt. scripturi jmechere de auth, CN-ul din certificatul client e
 pus in variabila de mediu $common_name.

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Petru Ratiu

2011/4/4 Mihai Badici mihai.bad...@itassist.ro:
 O
  Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare
  client cu certificatul respectiv ; ba chiar cred ca daca as avea un
  certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta.
 
  Imi trebuie deci o modalitate de a lega certificatele emise de serverul
  pentru care sunt emise, dar  in documentatia de openvpn nu gasesc un
  hint in sensul asta.

 --client-config-dir si --ccd-exclusive nu ajuta? Vezi si
 --username-as-common-name


 Nu prea imi e clar, sa inteleg:

 --ccd-exclusive
    Require, as a condition of authentication, that a connecting client has a
 --client-config-dir file.
 Deci clientul va avea musai acest folder.
 Ok, in folderul ala ar trebui sa pun ceva deosebit. Dar ce?
 So, am  clientul contoso care tocmai a migrat la openvpn.
 II fac lui Vasile de la contoso  un config, ii dau certificat. Il oblig sa 
 aiba
 si un folder ccd unde pun un script... care nu stiu deocamdata ce face.

Folderul ala e cautat dupa CN-ul din certificatul prezentat de client.
Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine.
Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce
face, dar altfel n-o sa ii incurce serverul.

-- 
Petre.
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Tudor Gheorghe

On 04/04/2011 05:07 PM, Petru Ratiu wrote:
 ..
 Folderul ala e cautat dupa CN-ul din certificatul prezentat de client.
 Certificat care a fost emis de tine, cu CN-ul pus de manutza de tine.
 Daca Vasile ii da de buna voie lui Gigel certificatul, nu prea ai ce
 face, dar altfel n-o sa ii incurce serverul.
Cred ca ceea ce vrea sa spuna este:
gigel se autentifica cu certificatul lui, dupa care seteaza manual ip-ul 
lui vasile.


-- 
Teddy
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Eugeniu Patrascu

Poti folosi parametrul KeyUsage din certificat.
In principiu poti da certificat la userii de au nevoie de VPN
certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in
certificat si daca nu e IPSec sa nu-l lase sa se conecteze.



2011/4/4 Mihai Badici mihai.bad...@itassist.ro:
 Salut,
 Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune:

 In momentul de fata, am mai multi clienti independenti care au Openvpn la care
 se autentifica cu certificate. Se intra pe server, se emite certificatul
 userului, se da omului configul si certificatul.

 Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa
 construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa
 faca asta dintr-o interfata iar eu sa stau degeaba)

 Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care
 au certificat valid emis de CA-ul respectiv.
 Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare client
 cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis 
 in
 alt scop... mail, web etc, si pe ala l-ar accepta.

 Imi trebuie deci o modalitate de a lega certificatele emise de serverul pentru
 care sunt emise, dar  in documentatia de openvpn nu gasesc un hint in sensul
 asta.

 ___
 RLUG mailing list
 RLUG@lists.lug.ro
 http://lists.lug.ro/mailman/listinfo/rlug

___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

2011-04-04 Fir de Conversatie Cristian Mitrana

* Eugeniu Patrascu eu...@imacandi.net [04-04-11 19:36]:
  
Poti folosi parametrul KeyUsage din certificat.
In principiu poti da certificat la userii de au nevoie de VPN
certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in
certificat si daca nu e IPSec sa nu-l lase sa se conecteze.



  Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un 
client sa se poate autentifica la serverul gresit, certificatele client fiind 
emise de acelasi CA.

2011/4/4 Mihai Badici mihai.bad...@itassist.ro:
 Salut,
 Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune:

 In momentul de fata, am mai multi clienti independenti care au Openvpn la 
 care
 se autentifica cu certificate. Se intra pe server, se emite certificatul
 userului, se da omului configul si certificatul.

 Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa
 construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa
 faca asta dintr-o interfata iar eu sa stau degeaba)

 Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care
 au certificat valid emis de CA-ul respectiv.
 Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare 
 client
 cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis 
 in
 alt scop... mail, web etc, si pe ala l-ar accepta.

 Imi trebuie deci o modalitate de a lega certificatele emise de serverul 
 pentru
 care sunt emise, dar  in documentatia de openvpn nu gasesc un hint in sensul
 asta.

  Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa validezi 
clientul pe server cu un client-script. Dupa CN-ul certificatului sau alte 
metode de extragere si validarea a informatiei din certificat (extensii sau 
campuri deja existente). Altfel, cu un singur CA, nu prea ai cum sa interzici 
unui server sa valideze un certificat 'client', fara a face CA-uri intermediare 
pentru fiecare server.

-- 
mitu
___
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug

Re: [rlug] openvpn si CA

[rlug] openvpn si CA

Re: [rlug] openvpn si CA

Re: [rlug] openvpn si CA

Re: [rlug] openvpn si CA

Re: [rlug] openvpn si CA

Re: [rlug] openvpn si CA

Re: [rlug] openvpn si CA

8 matches

Site Navigation

Mail list logo

Footer information