[eside-ghost] [openvpn] c ? mo evitar acceso a un determinado certificado

[Fernando de Urien]

Ieeep!!
Gracias a los 2, había pensado en el tema de revocar los certificados 
pero mi idea iba por otro lado ya que mi CA es un "microsoft windows 
certificate services" amos... que a ver como narices hago para que 
openvpn consulte la lista de revocaciones de eso que llaman CA.
Seguiré investigando... a ver qué se me ocurre.

Gracias!!!! Un saludete,

Zefe

Jon Urionaguena escribió:
> Fernando de Urien escribió:
>   
>> Holas,
>>
>> Amos, a ver si me explico bien que es un poco lioso. 
>> Ando cacharreando con openvpn y de cara a darle utilidad se
>> me plantea una duda:
>>
>> Los clientes se autentican mediante certificados. Estos certificados son
>> generados automágicamente en función de su usuario de dominio a través
>> de unos formularios web... (esto es importante por que el nombre de
>> usuario no puede ni debe cambiar).
>>
>> Ok, el usuario conecta su vpn y mágicamente yo veo conectado al usuario
>> "jperez" en la herramienta de administración. ¡¡Todo funciona guay!!
>>
>> Bien, ahora imaginemos que tenemos un usuario muy patan que ha perdido
>> el pc y le han robado los certificados (y se saben el passphrase de la
>> clave privada y la madre del cordero, amos, un USUARIO :-p  )
>>
>> Suponiendo que los administradores guardan copia de esos certificados
>> (en previsión de que el usuario formatee el equipo y mil posibilidades
>> más)...
>> Hay posibilidad de hacer que ese certificado sea inválido de cara a
>> openvpn??
>>
>> Amos, mi idea es invalidar el certificado robado y generar uno nuevo al
>> usuario. 
>> El objetivo de "invalidar" (que no revocar) es que como 1 nombre de
>> usuario no puede tener iniciadas 2 conexiones a la vpn, por mucho que le
>> genere un nuevo certificado al usuario, no va a funcionar ya uqe ambos
>> van a tener la misma identificación.
>>
>> No sepo si me he explicao bien :-D
>>
>> Bueno, el caso y el objetivo de tanta chapa es... ¿Se puede invalidar un
>> certificado para que openvpn no lo acepte como valido? (todo esto sin
>> invalidar a nuestro pobre "jperez" ya que necesitará conectarse más
>> adelante con sus nuevos certificados)
>>
>> Un saludete!!
>>
>> Zefe
>>
>> P.D. si hay algún jperez por ahí... que no se me enfade que me lo he
>> inventado ehhhh :-D 
>>
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>>     
>
> Aupi Zefe,
>
> La revocación es lo que tu buscas... Revocar no significa invalidar a un
> usuario. Puedes crear dos usuarios con los "mismos datos". Cambiarán su
> número de serie y sus pares de claves de cifrado (si tu usuario se sabe
> sus 1024 bits de clave privada es una pena, pero se tendrá que aprender
> los nuevos...;-)).
>
> Es decir, una vez se compromete el material privado correspondiente a un
> certificado de un usuario, éste se revoca y se genera un par nuevo
> (clave privada + certificado...)
>
> Ahora viene lo gordo... OpenVPN debe trabajar con CRLs para enterarse de
> las revocaciones que haceis... Ésto lo tienes ya configurado?
>
> Lo bueno es que el howto es bastante autoexplicativo....
>
> http://openvpn.net/howto.html#revoke
>
> A ver si te vale... Si no comentas lo que te pasa...
>
> Saludos,
>
>   
> ------------------------------------------------------------------------
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost