[eside-ghost] [openvpn] c � mo evitar acceso a un determinado certificado

[Jon Urionaguena]

Fernando de Urien escribió:
> Holas,
> 
> Amos, a ver si me explico bien que es un poco lioso. 
> Ando cacharreando con openvpn y de cara a darle utilidad se
> me plantea una duda:
> 
> Los clientes se autentican mediante certificados. Estos certificados son
> generados automágicamente en función de su usuario de dominio a través
> de unos formularios web... (esto es importante por que el nombre de
> usuario no puede ni debe cambiar).
> 
> Ok, el usuario conecta su vpn y mágicamente yo veo conectado al usuario
> "jperez" en la herramienta de administración. ¡¡Todo funciona guay!!
> 
> Bien, ahora imaginemos que tenemos un usuario muy patan que ha perdido
> el pc y le han robado los certificados (y se saben el passphrase de la
> clave privada y la madre del cordero, amos, un USUARIO :-p  )
> 
> Suponiendo que los administradores guardan copia de esos certificados
> (en previsión de que el usuario formatee el equipo y mil posibilidades
> más)...
> Hay posibilidad de hacer que ese certificado sea inválido de cara a
> openvpn??
> 
> Amos, mi idea es invalidar el certificado robado y generar uno nuevo al
> usuario. 
> El objetivo de "invalidar" (que no revocar) es que como 1 nombre de
> usuario no puede tener iniciadas 2 conexiones a la vpn, por mucho que le
> genere un nuevo certificado al usuario, no va a funcionar ya uqe ambos
> van a tener la misma identificación.
> 
> No sepo si me he explicao bien :-D
> 
> Bueno, el caso y el objetivo de tanta chapa es... ¿Se puede invalidar un
> certificado para que openvpn no lo acepte como valido? (todo esto sin
> invalidar a nuestro pobre "jperez" ya que necesitará conectarse más
> adelante con sus nuevos certificados)
> 
> Un saludete!!
> 
> Zefe
> 
> P.D. si hay algún jperez por ahí... que no se me enfade que me lo he
> inventado ehhhh :-D 
> 
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
> 

Aupi Zefe,

La revocación es lo que tu buscas... Revocar no significa invalidar a un
usuario. Puedes crear dos usuarios con los "mismos datos". Cambiarán su
número de serie y sus pares de claves de cifrado (si tu usuario se sabe
sus 1024 bits de clave privada es una pena, pero se tendrá que aprender
los nuevos...;-)).

Es decir, una vez se compromete el material privado correspondiente a un
certificado de un usuario, éste se revoca y se genera un par nuevo
(clave privada + certificado...)

Ahora viene lo gordo... OpenVPN debe trabajar con CRLs para enterarse de
las revocaciones que haceis... Ésto lo tienes ya configurado?

Lo bueno es que el howto es bastante autoexplicativo....

http://openvpn.net/howto.html#revoke

A ver si te vale... Si no comentas lo que te pasa...

Saludos,

-- 

Jon