OPENVPN blokace uzivatelu 2
Michal Dobes
dobes na tesnet.cz
Neděle Únor 12 10:59:17 CET 2006
Dalibor Kouřil napsal(a):
>> Máte v konfiguraci serveru použito něco jako "ns-cert-type client"
>> a jsou certifikáty klientů generovány s nějak rozumně nastavenou oblastí
>> použití (v openssl.cnf položky nsCertType/keyUsage/extendedKeyUsage)?
>>
> jakmile přidám do konfigurace ns-cert-type client tak to začne dělat
> totéž, jako když
Ehm, pak bych dovolil navrhnout Vám prostudovat si, k čemu je ta volba
"ns-cert-type client" v konfiguraci serveru a zároveň by měly být
volby "ns-cert-type server" a "tls-remote CNserveru" v konfiguraci
klientů. A prostudovat si to dříve, než to udělá někdo z Vašich
uživatelů a zrealizuje velice prvotřídní a primitivní útok men in
middle. Obzvláště v situaci, jestli máte certifikáty klientů a VPN
serveru podepsány stejnou certifikační autoritou (což je také
nedoporučované). :-))
> přidám volbu crl-verify .....
> v openssl.conf mám všechny uvedené volby zakřížkované #
> To bude asi ten problém, ne ?
Ano, může to být velmi pravděpodobná příčina.
>
> Tak jsem se díval špatně, v [ server ] jsou položky definované, pro
> jistotu přikládám celý conf soubor
Zkusil bych do části [ usr_cert ] přidat:
nsCertType = client
keyUsage = digitalSignature
extendedKeyUsage = clientAuth
a zkusil s tím podepsat certifikátek a ověřit, zda s ním to bude
fungovat. Pokud ano, tak bude třeba vyměnit certifikáty všem
klientům.
M.
Další informace o konferenci Linux