* Eugeniu Patrascu <[email protected]> [04-04-11 19:36]: >Poti folosi parametrul KeyUsage din certificat. >In principiu poti da certificat la userii de au nevoie de VPN >certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in >certificat si daca nu e IPSec sa nu-l lase sa se conecteze. >
Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un client sa se poate autentifica la serverul gresit, certificatele client fiind emise de acelasi CA. >2011/4/4 Mihai Badici <[email protected]>: >> Salut, >> Pentru ca sunt lenes, as vrea sa fac urmatoarea chestiune: >> >> In momentul de fata, am mai multi clienti independenti care au Openvpn la >> care >> se autentifica cu certificate. Se intra pe server, se emite certificatul >> userului, se da omului configul si certificatul. >> >> Ma gandesc sa nu mai intru pe server, am template-ul pentru config, sa >> construiesc un CA si sa le emit certificate la cerere. ( de fapt altcineva sa >> faca asta dintr-o interfata iar eu sa stau degeaba) >> >> Problema e ca dupa cum imi dau eu seama, openvpn autentifica toti userii care >> au certificat valid emis de CA-ul respectiv. >> Deci daca as avea un CA, fiecare user s-ar putea autentifica la oricare >> client >> cu certificatul respectiv ; ba chiar cred ca daca as avea un certificat emis >> in >> alt scop... mail, web etc, si pe ala l-ar accepta. >> >> Imi trebuie deci o modalitate de a lega certificatele emise de serverul >> pentru >> care sunt emise, dar in documentatia de openvpn nu gasesc un hint in sensul >> asta. Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa validezi clientul pe server cu un client-script. Dupa CN-ul certificatului sau alte metode de extragere si validarea a informatiei din certificat (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai cum sa interzici unui server sa valideze un certificat 'client', fara a face CA-uri intermediare pentru fiecare server. -- mitu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
