Re: Генерация сертиик атов для VPN
Artem Chuprina wrote: Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем отличается от easyrsa? Или может еще что вменяемое есть? MK Для OpenVPN: MK cd /etc/openvpn/easy-rsa MK . ./vars MK ./build-key user1 Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был второй openvpn-линк) пришлось решать втроем :-) Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком, хорошо знающим, как устроен openssl в частности и PKI вообще. MK И как решили? Почитали ругань скрипта, подсунули ему файл по-другому и удалили ненужный раздел из егойного openssl.cnf. Квалификация требовалась для того, чтобы правильно прочесть диагностику (ну, благо за три года работы с openssl я научился ее читать) и осознать, что раздел ненужный, и проще его удалить. Как я понял он работал одновременно с двумя независимыми VPN сетями по одному ключу? Или одновременно только с одной, но в обоих случаях использовался один и тот же ключ? -- maxym -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Alexander GQ Gerasiov wrote: Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем отличается от easyrsa? Или может еще что вменяемое есть? Для OpenVPN: cd /etc/openvpn/easy-rsa . ./vars ./build-key user1 -- maxym -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Artem Chuprina wrote: Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем отличается от easyrsa? Или может еще что вменяемое есть? MK Для OpenVPN: MK cd /etc/openvpn/easy-rsa MK . ./vars MK ./build-key user1 Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был второй openvpn-линк) пришлось решать втроем :-) Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком, хорошо знающим, как устроен openssl в частности и PKI вообще. И как решили? -- maxym -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Alexander GQ Gerasiov wrote: Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего генерит? http://www.ejbca.org/ http://sourceforge.net/projects/ejbca/ http://www-128.ibm.com/developerworks/grid/library/gr-jsc/?ca=dgr-lnxw961ManageX.509 http://www.openit.it/index.php/openit_en/software_libero/openvpnadmin http://tinyca.sm-zone.net/ https://www.openca.org/ http://pki.fedoraproject.org/wiki/PKI_Main_Page http://freshmeat.net/projects/tinyca/ Если вручную - то удобнее скрипты опевпн, если нужно все автоматизировать - то ejbca. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Nicholas пишет: https://www.openca.org/ openca выглядит вполне прилично. Странно что не включено в репы дебиана. Никто не собирал? Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn менеджеру через web interface, что б меня не дергали ключи генерить. Пошел было по неверному пути, прикрутил pam_pgsql, pam, openvpn вместе, и сделал простенький веб интерфейс для правки таблицы постгреса с паролями для vpn. И тут наткнулся на тупик, мне помимо паролей нужно что б и по сертификатам авторизовываться можно было (ряд рабочих станций, где нет операторов и некому пароли вводить), вот и ищу решение для глючей. Посмотрел модуль openvpn для webmin, выглядит страшно. Попробую собрать openca -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
apm wrote: Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn менеджеру через web interface, что б меня не дергали ключи генерить. openca - не пробовал. А вот как это выглядит в ejbca: 1. Вы создаете профайлы сертификатов суперпользователем (все через веб) в которых задаете обязательные и необязательные параметры, которые либо зафиксированны либо могут меняться при создании. (клиентский/серверный, для почты/для веба/для всего, алгоритм и т.д. - любые опции которые есть в доках по openssl - все галочками )Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn менеджеру через web interface, что б меня не дергали ключи генерить. 2. Создаете админов (хотя бы одного) и разрешаете каждому админу использовать определенные профайлы (каждый профайл под свою задачу или домен удобно сделать - что бы стандартные данные подставлял при генерации) 3. Админы могут создавать (отзывать/обновлять) сертификаты пользователей - в результате получается логин и пароль который передается конечному пользователю. 4. Пользователь может залогиниться через веб и скачать сертификат (только тогда он и сгенерится и только один раз - если недруг перехватил письмо с паролем это сразу выявится, второй раз пароль использовать нельзя). Причем пользователь тоже может менять свойства сертификата (например длину или форму в зависимости от ОС ), если такая опция разрешена админом. При генерации создается пакет в который включены ключи в нужной форме (pki например) и необходимый софт, также автоматом может генериться пользовательский конфиг openvpn (для каждого свой - со своими именами ключей, если надо), могут добавляться и другие файлы/проги, может генериться инсталяционный exe файл для win, если клиент галочку ставит - он один и опен впн поставит и все остальное за раз. Все это через веб, выглядит очень просто, по каждому клиенту видна история - когда что создавалось, кем, с какого ip забиралось, когда отзывалось. Лицензия LGPL. Единственный минус - требует джаву. -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Nicholas пишет: Лицензия LGPL. Единственный минус - требует джаву. Спасибо за подробное описание. Что то подобное и ищется. Попробую посмотреть на ejbca еще раз. Ява, да пугает. Отсутсвие в репах дебиана тоже. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
wget http://surfnet.dl.sourceforge.net/sourceforge/ejbca/ejbca_3_6_1.zip Запрос HTTP послан, ожидается ответ... 200 OK Длина: 35287206 (34M) [application/zip] 34 Мегабайта? Единственный минус - требует джаву. Думаю не единственный. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
apm пишет: Nicholas пишет: Лицензия LGPL. Единственный минус - требует джаву. Спасибо за подробное описание. Что то подобное и ищется. Попробую посмотреть на ejbca еще раз. Ява, да пугает. Отсутсвие в репах дебиана тоже. http://han.pp.se/gl/article.php?story=20080115235612100 -- вот они вроде как есть. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Генерация сертиик атов для VPN
Artem Chuprina wrote: и я тоже openssl пользую через некоторе время работы с ней, она становится более понятно, и порой хватает даже мана. Что именно ей надо сказать, каждый раз подсматриваю в SSL Certificates HOWTO. ну и ctrl-r тоже рулит -- sergio -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]