On 2007.10.10 at 01:47:26 +0400, Alexey Pechnikov wrote:
В сообщении от Вторник 09 октября 2007 21:54 Nicholas написал(a):
Насчет автоматизации создания сертификатов - еще подсказали
tinyca.sm-zone.net - не пробовал, а EJBCA замечательная вешь (GPL2).
tinyca есть пакетом в дебиане, но
On Wed, Oct 10, 2007 at 01:29:30AM +0400, Alexey Pechnikov wrote:
В сообщении от Вторник 09 октября 2007 11:30 Stanislav Maslovski написал(a):
Дык я и не говорю, что оно у вас не работает. Я про то, что клиентские
сертификаты в .pem файлах серверу openvpn для работы не нужны. И в доке
на
On Wed, Oct 10, 2007 at 09:17:39AM +0400, Artem Chuprina wrote:
Alexey Pechnikov - Stanislav Maslovski @ Wed, 10 Oct 2007 01:28:31 +0400:
С версией более старой, чем 2.0.9 не работал, но все равно не могу понять,
как вы такого поведения добились? Дайте что-ли взглянуть на содержимое
AP Как видим, все dh{n}.pem должны лежать на сервере. См.
AP http://openvpn.net/howto.html#pki
Только это ни разу не сертификаты.
Именно. Алексей читает письма невнимательно и упорствует на пустом месте.
# cat 01.pem |grep CERTIFICATE
-BEGIN CERTIFICATE-
-END
Не бывает. Как упыря. В смысле пароля у сертификата. Пароль бывает у
секретного ключа. Или у PKCS12, который такой контейнер для сертификата
И секретного ключа.
Секретный ключ это отдельная сущность лежит в отдельном файле, и
поменять у него пароль, в том числе и снять его совсем с помощью
Stanislav Maslovski - debian-russian@lists.debian.org @ Wed, 10 Oct 2007
12:00:08 +0400:
С версией более старой, чем 2.0.9 не работал, но все равно не могу
понять,
как вы такого поведения добились? Дайте что-ли взглянуть на содержимое
openvpn.conf, даже интересно.
AP Вот
On Wed, Oct 10, 2007 at 12:52:20PM +0400, Artem Chuprina wrote:
Stanislav Maslovski - debian-russian@lists.debian.org @ Wed, 10 Oct 2007
12:00:08 +0400:
С версией более старой, чем 2.0.9 не работал, но все равно не могу
понять,
как вы такого поведения добились? Дайте что-ли
On 2007.10.10 at 12:55:54 +0400, Alexey Pechnikov wrote:
Спасибо. Оказывается, предусмотрены разные модели безопасности. А можно найти
какие-то документы, когда какой вариант оправдано использовать - не
техническое описание, а именно как выбрать стратегию? Технических хауту
много, но
Alexey Pechnikov wrote:
tinyca есть пакетом в дебиане, но вроде как кривое поделие - требует
обязательно указывать пароль для каждого сертификата.
Речь, видимо, о P12. Пароль можно убрать:
openssl pkcs12 -in file.p12 -nodes -out temp (спросит пароль)
openssl pkcs12 -export -in temp -nodes -out
Благодарю, с OpenVPN это решает вопрос, а дальше займусь чтением
рекомендованной литературы, поскольку заинтересовался вопросами, выходящими
за рамки использования vpn.
Victor Wagner пишет:
On 2007.10.10 at 12:55:54 +0400, Alexey Pechnikov wrote:
Спасибо. Оказывается, предусмотрены разные модели безопасности. А можно найти
какие-то документы, когда какой вариант оправдано использовать - не
техническое описание, а именно как выбрать стратегию? Технических
Alexey Pechnikov пишет:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как
генерирует сертификаты. Например, сегодня обсуждали использование сервера
OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для
каждого нового пользователя следует создать
On Tue, Oct 09, 2007 at 12:54:45AM +0400, Alexey Pechnikov wrote:
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В случае с PKI такого понятия, в общем, не
существует. Нету некоего общего списка. Хотя конкретный CA вполне
может держать список выданных им
On Tue, Oct 09, 2007 at 11:08:40AM +0400, Stanislav Maslovski wrote:
On Tue, Oct 09, 2007 at 12:54:45AM +0400, Alexey Pechnikov wrote:
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В случае с PKI такого понятия, в общем, не
существует. Нету некоего
Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены
доверять), а в общем случае не должны и ваш вариант работать не будет.
Года два я пользую это решение исключительно для нужд команды разработки, а
сейчас речь идет о запуске именно для пользователей, потому и появились
On Tue, Oct 09, 2007 at 11:16:54AM +0400, Stanislav Maslovski wrote:
On Tue, Oct 09, 2007 at 11:08:40AM +0400, Stanislav Maslovski wrote:
On Tue, Oct 09, 2007 at 12:54:45AM +0400, Alexey Pechnikov wrote:
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В
Просмотрел, кроме некоторой избыточности, ничего криминального не заметил.
В упор не вижу, зачем вашему серверному openvpn для работы обязательно
нужны .pem c клиентскими сертификатами :-\
Делал давно, но вроде как в манах на офсайте была подсказка, как это сделать и
зачем оно может быть
Stanislav Maslovski пишет:
On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote:
AP Публичный ключ клиента должен быть на сервере, иначе как проверить
AP клиента?
Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
скажу, что клиент проверяется по переданному им
On Tue, Oct 09, 2007 at 11:25:02AM +0400, Alexey Pechnikov wrote:
Просмотрел, кроме некоторой избыточности, ничего криминального не заметил.
В упор не вижу, зачем вашему серверному openvpn для работы обязательно
нужны .pem c клиентскими сертификатами :-\
Делал давно, но вроде как в манах
P.S. Вспомнилось - когда сервер OpenVPN сам назначает ip-адреса клиентам,
в файле с соответствиями ip
3. Можно указать диапазон ip для случайного распределения или
использовать файлы с указанием статического ip клиента, в этом случае:
имя файла = common name сертификата, а содержимое файла
В сообщении от Вторник 09 октября 2007 11:28 Andrey Lyubimets написал(a):
С версией более старой, чем 2.0.9 не работал, но все равно не могу
понять, как вы такого поведения добились? Дайте что-ли взглянуть на
содержимое openvpn.conf, даже интересно.
Сгенерил клиентский сертификат, а
Alexey Pechnikov пишет:
Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены
доверять), а в общем случае не должны и ваш вариант работать не будет.
Года два я пользую это решение исключительно для нужд команды разработки, а
сейчас речь идет о запуске именно для
Дык - интересуется с точки зрения безопасности, или сертификация позволяет
переложить ответственность на дядю?
Второе. Ибо первое требует проведения экспертизы, то есть фактически той же
сертификации. Это относится к очень крупным клиентам, например, тройка
крупнейших сотовых операторов. Для
Alexey Pechnikov пишет:
Дык - интересуется с точки зрения безопасности, или сертификация позволяет
переложить ответственность на дядю?
Второе. Ибо первое требует проведения экспертизы, то есть фактически той же
сертификации. Это относится к очень крупным клиентам, например, тройка
Alexey Pechnikov - debian-russian@lists.debian.org @ Tue, 9 Oct 2007 11:41:44
+0400:
AP Примечание: нужно из ./vars все переменные объявить вручную в
AP консоли, при запуске ./vars они не экспортируются.
Не объявить вручную в консоли, а запускать посредством
source ./vars
:-)
--
Artem
Потому, что несертифицированное решение клиенту не интересно. А вот
наличие сертифицированного дает конкурентное преимущество.
Фактически крупных клиентов безопасность не интересует.
Торговля телефонными базами клиентов известных операторов в переходах метро
косвенное тому подтверждение?!
В сообщении от Вторник 09 октября 2007 12:47 Artem Chuprina написал(a):
Alexey Pechnikov - debian-russian@lists.debian.org @ Tue, 9 Oct 2007
11:41:44 +0400:
AP Примечание: нужно из ./vars все переменные объявить вручную в
AP консоли, при запуске ./vars они не экспортируются.
Не объявить
Nicholas - debian-russian@lists.debian.org @ Tue, 09 Oct 2007 00:54:40 -0400:
N 2. PKI и p12 это одно и тоже, openvpnу все равно что использовать p12 или
pem,
N с pem надо отдельно указывать в конфиге ca.pem, key.key и key.crt, а в p12
все
N три в одном файле. p12 не обязательно должен быть
Alexey Pechnikov wrote:
Делаю так:
ifconfig-pool-persist ipp.txt
2. создаю файл ipp.txt, в который OpenVPN сам пишет назначенный из пула адрес
очередного клиента
$cat ipp.txt
Test-Client,10.8.0.4
MBG-1,10.8.0.8
Но ведь это пул, клиенты первый раз разные ip получают ?
А ccd сразу
В сообщении от Вторник 09 октября 2007 18:55 Nicholas написал(a):
Делаю так:
ifconfig-pool-persist ipp.txt
2. создаю файл ipp.txt, в который OpenVPN сам пишет назначенный из пула
адрес очередного клиента
$cat ipp.txt
Test-Client,10.8.0.4
MBG-1,10.8.0.8
Но ведь это пул, клиенты
Alexey Pechnikov wrote:
А как посмотреть список _действующих_ сертификатов?
Действующие - все кроме отозванных, главное что бы одним ca подписанны
были, cn неважен.
А ccd сразу статический определяет.
А, это решает вопрос. Только все еще непонятно, что будет, если с двух компов
с одним
С версией более старой, чем 2.0.9 не работал, но все равно не могу понять,
как вы такого поведения добились? Дайте что-ли взглянуть на содержимое
openvpn.conf, даже интересно.
Вот наткнулся в стандартной хаутушке, что именно так и следует делать:
Filename Needed By Purpose Secret
...
В сообщении от Вторник 09 октября 2007 11:30 Stanislav Maslovski написал(a):
Дык я и не говорю, что оно у вас не работает. Я про то, что клиентские
сертификаты в .pem файлах серверу openvpn для работы не нужны. И в доке
на оффсайте то же самое написано.
Наоборот - написано, что нужны
В сообщении от Вторник 09 октября 2007 21:54 Nicholas написал(a):
Насчет автоматизации создания сертификатов - еще подсказали
tinyca.sm-zone.net - не пробовал, а EJBCA замечательная вешь (GPL2).
tinyca есть пакетом в дебиане, но вроде как кривое поделие - требует
обязательно указывать пароль
On Tue, 9 Oct 2007 19:34:24 +0400, Alexey wrote:
Только все еще непонятно, что будет, если с
двух компов с одним сертификатом попытаться подключиться.
man openvpn
/ duplicate-cn
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Alexey Pechnikov - Stanislav Maslovski @ Wed, 10 Oct 2007 01:28:31 +0400:
С версией более старой, чем 2.0.9 не работал, но все равно не могу понять,
как вы такого поведения добились? Дайте что-ли взглянуть на содержимое
openvpn.conf, даже интересно.
AP Вот наткнулся в стандартной
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как
генерирует сертификаты. Например, сегодня обсуждали использование сервера
OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для
каждого нового пользователя следует создать сертификат и зашить его в
On Mon, 8 Oct 2007 18:52:15 +0400, Alexey wrote:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил,
как генерирует сертификаты.
/usr/share/doc/openvpn/examples/easy-rsa/2.0
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 18:52:15
+0400:
AP Частенько проскакивают темы про OpenVPN, но ни разу никто не
AP уточнил, как генерирует сертификаты. Например, сегодня обсуждали
AP использование сервера OpenVPN в роутерах, но для меня подобный
AP
В сообщении от Понедельник 08 октября 2007 18:57 Yury Yurevich написал(a):
On Mon, 8 Oct 2007 18:52:15 +0400, Alexey wrote:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил,
как генерирует сертификаты.
/usr/share/doc/openvpn/examples/easy-rsa/2.0
Это понятно, я так и
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:19:32
+0400:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил,
как генерирует сертификаты.
/usr/share/doc/openvpn/examples/easy-rsa/2.0
AP Это понятно, я так и делаю. Но это делается на
On 2007.10.08 at 18:52:15 +0400, Alexey Pechnikov wrote:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как
генерирует сертификаты. Например, сегодня обсуждали использование сервера
OpenVPN в роутерах, но для меня подобный подход обесценивается тем, что для
каждого
В сообщении от Понедельник 08 октября 2007 19:24 Artem Chuprina написал(a):
Секретный ключ, известный более чем одной персоне, называется
публичным. Секретный ключ клиента не должен покидать его компьютера,
если по уму. А сертификат генерируют в CA, а не на сервере. Иначе это
профанация.
А
В сообщении от Понедельник 08 октября 2007 19:25 Victor Wagner написал(a):
On 2007.10.08 at 18:52:15 +0400, Alexey Pechnikov wrote:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как
генерирует сертификаты. Например, сегодня обсуждали использование сервера
OpenVPN в
В сообщении от Понедельник 08 октября 2007 19:31 Alexey Pechnikov написал(a):
Это еще зачем? Клиентский сертификат должен быть на клиенте.
А на сервере - только сертификат самого сервера, и сертификат CA, на
котором проверяются сертификаты клиентов. Он, естественно, должен быть
ОДИН на
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:27:05
+0400:
Секретный ключ, известный более чем одной персоне, называется
публичным. Секретный ключ клиента не должен покидать его
компьютера, если по уму. А сертификат генерируют в CA, а не на
сервере. Иначе
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:31:17
+0400:
Частенько проскакивают темы про OpenVPN, но ни разу никто не
уточнил, как генерирует сертификаты. Например, сегодня обсуждали
использование сервера OpenVPN в роутерах, но для меня подобный
подход
AP Публичный ключ клиента должен быть на сервере, иначе как проверить
AP клиента?
Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
скажу, что клиент проверяется по переданному им в рамках сессии
сертификату, подписанному CA. И лишь сертификат CA, один на всех
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:40:26
+0400:
Это еще зачем? Клиентский сертификат должен быть на клиенте.
А на сервере - только сертификат самого сервера, и сертификат CA, на
котором проверяются сертификаты клиентов. Он, естественно, должен быть
AP Если речь идет об американских центрах авторизации, то это никуда не
годится - AP при проблемах с интернет или серверами американской компании
рухнет все. AP Отечественные центры и того хуже - в каждом регионе свой
центр сертификации, AP а если мне надо работать с клиентами из разных
On 2007.10.08 at 19:31:17 +0400, Alexey Pechnikov wrote:
Это еще зачем? Клиентский сертификат должен быть на клиенте.
А на сервере - только сертификат самого сервера, и сертификат CA, на
котором проверяются сертификаты клиентов. Он, естественно, должен быть
ОДИН на всех клиентов.
On 2007.10.08 at 19:40:26 +0400, Alexey Pechnikov wrote:
В сообщении от Понедельник 08 октября 2007 19:31 Alexey Pechnikov написал(a):
Это еще зачем? Клиентский сертификат должен быть на клиенте.
А на сервере - только сертификат самого сервера, и сертификат CA, на
котором проверяются
On 2007.10.08 at 20:00:56 +0400, Alexey Pechnikov wrote:
центры отнюдь не AP вызывают. Так что остается только использовать
self-signed сертификаты.
Множественное число тут неуместно. Один self-signed сертификат.
По одному на каждый сервер OpenVPN, или я что-то не так понимаю?
Зачем
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 20:00:56
+0400:
AP Если речь идет об американских центрах авторизации, то это никуда не
годится - AP при проблемах с интернет или серверами американской компании
рухнет все. AP Отечественные центры и того хуже - в
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 19:56:04
+0400:
AP Публичный ключ клиента должен быть на сервере, иначе как проверить
AP клиента?
Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
скажу, что клиент проверяется по переданному
On Mon, 08 Oct 2007 19:46:51 +0400, Artem wrote:
Центром авторизации в таком простом случае является админ. В более
сложных это как минимум специально обученный сотрудник в комплекте с
компьютером, недоступным по сети.
Кстати, а как сделать отзыв сертификатов в таком случае? Use case
On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote:
Центром авторизации в таком простом случае является админ. В более
сложных это как минимум специально обученный сотрудник в комплекте с
компьютером, недоступным по сети.
Кстати, а как сделать отзыв сертификатов в таком случае? Use
В сообщении от Понедельник 08 октября 2007 20:41 Artem Chuprina написал(a):
Видимо, настраивать OpenVPN следует не первым попавшимся способом, а
по здравом размышлении и при понимании того, что делаешь?
Хорошо, а как в _ином_ случае организовать отзыв сертификата? У меня сейчас
есть способ
Чушь городишь. Совершенно необязательно производить проверку статуса
сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его
секретрый ключ и он успел уведомить о том центр сертификации, чтобы ключ
отозвали.
Никого он уведомлять не будет, просто позвонит мне. Соответственно, я
On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote:
AP Публичный ключ клиента должен быть на сервере, иначе как проверить
AP клиента?
Боюсь, формат рассылки не предусматривает полного ликбеза по PKI. Но
скажу, что клиент проверяется по переданному им в рамках сессии
В сообщении от Понедельник 08 октября 2007 21:49 Victor Wagner написал(a):
On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote:
Центром авторизации в таком простом случае является админ. В более
сложных это как минимум специально обученный сотрудник в комплекте с
компьютером,
В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski
написал(a):
On Mon, Oct 08, 2007 at 07:56:04PM +0400, Alexey Pechnikov wrote:
AP Публичный ключ клиента должен быть на сервере, иначе как проверить
AP клиента?
Боюсь, формат рассылки не предусматривает полного
Alexey Pechnikov - debian-russian@lists.debian.org @ Mon, 8 Oct 2007 22:59:44
+0400:
Чушь городишь. Совершенно необязательно производить проверку статуса
сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его
секретрый ключ и он успел уведомить о том центр сертификации, чтобы
Alexey Pechnikov - debian-russian@lists.debian.org @ Tue, 9 Oct 2007 00:08:31
+0400:
Мгновенно у тебя в любом случае не получится. Время реакции
человеческого мозга на сказанную фразу существенно ненулевое.
AP С точки зрения физики время дискретно, потому любое время
AP существенно не
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В случае с PKI такого понятия, в общем, не
существует. Нету некоего общего списка. Хотя конкретный CA вполне
может держать список выданных им сертификатов. openssl ca так и делает.
Не знал, выходит, вопрос
Мгновенно у тебя в любом случае не получится. Время реакции
человеческого мозга на сказанную фразу существенно ненулевое.
С точки зрения физики время дискретно, потому любое время существенно не
нулевое. Квантуется, вот ведь дела.
openssl ca -gencrl -revoke путь_к_его_сертификату -out
Alexey Pechnikov - debian-russian@lists.debian.org @ Tue, 9 Oct 2007 00:54:45
+0400:
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В случае с PKI такого понятия, в общем, не
существует. Нету некоего общего списка. Хотя конкретный CA вполне
может держать
Alexey Pechnikov пишет:
AP А как посмотреть список _действующих_ сертификатов?
Что значит список? В случае с PKI такого понятия, в общем, не
существует. Нету некоего общего списка. Хотя конкретный CA вполне
может держать список выданных им сертификатов. openssl ca так и делает.
Не знал,
Alexey Pechnikov wrote:
Частенько проскакивают темы про OpenVPN, но ни разу никто не уточнил, как
генерирует сертификаты.
1. Если делать серитфикаты вручную, то лучше это делать спомошью
скриптов openvpn, то как это делается в переведенных доках по SSL, с
использованием openssl.conf, тоже
On Mon, Oct 08, 2007 at 11:18:53PM +0400, Alexey Pechnikov wrote:
В сообщении от Понедельник 08 октября 2007 23:10 Stanislav Maslovski
написал(a):
[ съел злобный гоблин ]
С версией более старой, чем 2.0.9 не работал, но все равно не могу понять,
как вы такого поведения добились? Дайте
70 matches
Mail list logo