[eside-ghost] [openvpn] c ? mo evitar acceso a un determinado
certificado
Jon Urionaguena
juriona en nesys-st.com
Dom Sep 10 20:00:51 CEST 2006
Fernando de Urien escribió:
> Ieeep!!
> Gracias a los 2, había pensado en el tema de revocar los certificados
> pero mi idea iba por otro lado ya que mi CA es un "microsoft windows
> certificate services" amos... que a ver como narices hago para que
> openvpn consulte la lista de revocaciones de eso que llaman CA.
> Seguiré investigando... a ver qué se me ocurre.
>
> Gracias!!!! Un saludete,
>
> Zefe
>
> Jon Urionaguena escribió:
>> Fernando de Urien escribió:
>>
>>> Holas,
>>>
>>> Amos, a ver si me explico bien que es un poco lioso. Ando
>>> cacharreando con openvpn y de cara a darle utilidad se
>>> me plantea una duda:
>>>
>>> Los clientes se autentican mediante certificados. Estos certificados son
>>> generados automágicamente en función de su usuario de dominio a través
>>> de unos formularios web... (esto es importante por que el nombre de
>>> usuario no puede ni debe cambiar).
>>>
>>> Ok, el usuario conecta su vpn y mágicamente yo veo conectado al usuario
>>> "jperez" en la herramienta de administración. ¡¡Todo funciona guay!!
>>>
>>> Bien, ahora imaginemos que tenemos un usuario muy patan que ha perdido
>>> el pc y le han robado los certificados (y se saben el passphrase de la
>>> clave privada y la madre del cordero, amos, un USUARIO :-p )
>>>
>>> Suponiendo que los administradores guardan copia de esos certificados
>>> (en previsión de que el usuario formatee el equipo y mil posibilidades
>>> más)...
>>> Hay posibilidad de hacer que ese certificado sea inválido de cara a
>>> openvpn??
>>>
>>> Amos, mi idea es invalidar el certificado robado y generar uno nuevo al
>>> usuario. El objetivo de "invalidar" (que no revocar) es que como 1
>>> nombre de
>>> usuario no puede tener iniciadas 2 conexiones a la vpn, por mucho que le
>>> genere un nuevo certificado al usuario, no va a funcionar ya uqe ambos
>>> van a tener la misma identificación.
>>>
>>> No sepo si me he explicao bien :-D
>>>
>>> Bueno, el caso y el objetivo de tanta chapa es... ¿Se puede invalidar un
>>> certificado para que openvpn no lo acepte como valido? (todo esto sin
>>> invalidar a nuestro pobre "jperez" ya que necesitará conectarse más
>>> adelante con sus nuevos certificados)
>>>
>>> Un saludete!!
>>>
>>> Zefe
>>>
>>> P.D. si hay algún jperez por ahí... que no se me enfade que me lo he
>>> inventado ehhhh :-D
>>> _______________________________________________
>>> eside-ghost mailing list
>>> eside-ghost en deusto.es
>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>>
>>>
>>
>> Aupi Zefe,
>>
>> La revocación es lo que tu buscas... Revocar no significa invalidar a un
>> usuario. Puedes crear dos usuarios con los "mismos datos". Cambiarán su
>> número de serie y sus pares de claves de cifrado (si tu usuario se sabe
>> sus 1024 bits de clave privada es una pena, pero se tendrá que aprender
>> los nuevos...;-)).
>>
>> Es decir, una vez se compromete el material privado correspondiente a un
>> certificado de un usuario, éste se revoca y se genera un par nuevo
>> (clave privada + certificado...)
>>
>> Ahora viene lo gordo... OpenVPN debe trabajar con CRLs para enterarse de
>> las revocaciones que haceis... Ésto lo tienes ya configurado?
>>
>> Lo bueno es que el howto es bastante autoexplicativo....
>>
>> http://openvpn.net/howto.html#revoke
>>
>> A ver si te vale... Si no comentas lo que te pasa...
>>
>> Saludos,
>>
>>
>> ------------------------------------------------------------------------
>>
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
Y la CA de M$ como la gestionas? Con el soporte que da W2003Server? Este
revoca y genera CRLs compatibles con X509... OpenVPN debería poder
gestionarlas perfectly...
Prueba y nos cuentas...
--
Jon
Más información sobre la lista de distribución eside-ghost