On Monday, April 04, 2011 11:55:56 pm Cristian Mitrana wrote: > * Eugeniu Patrascu <[email protected]> [04-04-11 19:36]: > >Poti folosi parametrul KeyUsage din certificat. > >In principiu poti da certificat la userii de au nevoie de VPN > >certificate cu KeyUsage=IPSec si OpenVPN sa-ti caute key usage in > >certificat si daca nu e IPSec sa nu-l lase sa se conecteze. > > Cred ca problema este ca are mai multe server-e OpenVpn si nu vrea ca un > client sa se poate autentifica la serverul gresit, certificatele client > fiind emise de acelasi CA.
Da, asta e problema > >> certificat emis in alt scop... mail, web etc, si pe ala l-ar accepta. > >> > >> Imi trebuie deci o modalitate de a lega certificatele emise de serverul > >> pentru care sunt emise, dar in documentatia de openvpn nu gasesc un > >> hint in sensul asta. > > Cred ca solutia cea mai eleganta, si a sugerat-o deja Petre, este sa > validezi clientul pe server cu un client-script. Dupa CN-ul certificatului > sau alte metode de extragere si validarea a informatiei din certificat > (extensii sau campuri deja existente). Altfel, cu un singur CA, nu prea ai > cum sa interzici unui server sa valideze un certificat 'client', fara a > face CA-uri intermediare pentru fiecare server. Probabil ca asta e solutia, trebuie sa vad cum se face scriptul. Ma gandeam ca se poate mai simplu, nu cred ca sunt primul care a remarcat problema asta la openvpn. Merci pentru idei, o sa fac niste teste. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
