Racoon vs. WinVista

Michal Dobes dobes na tes.eu
Pátek Červen 13 14:53:33 CEST 2008


Jan Marek napsal(a):
> Zkousel jsem pridat
> 
> log debug; nebo log debug2;
> 
> ale vypisovalo mi to nejake obsahy packetu, popravde receno,
> blize jsem to nezkoumal...

Možná v těch detailech by nějaké vysvětlení bylo. :-)

>> Banality typu, že firewall nic neblokuje, že ten certifikát
>> daný racoonu je podepsán nějakou certifikační autoritou, kterou
>> Wokna znají, že racoon od ní má CRL list, a že taktéž certifikát
>> ve Woknech je podepsán stejnou CA, případně správně nastaveny
>> atributy použití jsou splněny?
> 
> Firewall nic neblokuje.
> 
> U certifikatu si s jejich spravnosti uplne jisty nejsem. Delal
> jsem si je sam, cili Visty o certifikacni autorite nemaji poneti.
> Z navodu, ktere jsem pouzil, nevyplyvalo, ze bych mel nejak
> Vistam dat vedet o duveryhodnosti ci neduveryhodnosti
> certifikacni autority (samozrejme bych to rad udelal, poradite
> jak?).

Visty neznám, ale předpokládám, že by mohly stejně jako XPčka podporovat
i použití sdíleného klíče pro IPsec. Takže bych zkusil třeba prvně tuto
konfiguraci, zda to najede a pak řešil certifikáty v druhém kole,
až to nějak pojede.

U starších verzí woken dle materiálů u Microsoftu bylo vyžadováno,
aby certifikát serveru byl podepsán stejným certifikátem jako klienta,
jinak to mělo selhat. Další požadavek je, že server jako součást
požadavku na certifikát klienta měl poslat i informaci o tom,
jakou certifikační autoritou má být klientský certifikát podepsán
a podle toho klient nějaký vybral. Tohle racoon poslat neumí (přesněji
žádost poslat umí, volba send_cr yes, ale neumí tam vložit to CN CA),
ale v praxi je to klientovi celkem jedno a obvykle to pak dopadlo tak,
že vybral náhodně nějaký certifikát a ten použil, pokud tam máte jen
jeden, tak by k omylu nemělo dojít. A i kdyby, mělo by to při podrobném
debugu v racoonu vyplavat, že odmítl certifikát. Taktéž aspoň starší
okna hlásily, pokud nenašly žádný použitelný certifikát (ale trošku
blbě, pokud nebyl vůbec žádný certifikát splňující nějaké podmínky,
tak se to hlásilo, pokud byl nějaký blbý, tak bylo ticho a wokna ho
zkusily použít, přestože třeba nesouhlasila podepisující CA).

Certifikát CA dostanete do oken tak, že nejlépe ten certifikát klienta
budete mít v pk12 formátu a v něm bude včleněn i certifikát CA a pak
jen naimportovat do úložiště pro místní počítač (aspoň pro W2K/XP).

> Racoon ma k dispozici CRL soubor... Atributy pouziti jsou
> nastaveny na vsechno, alespon Visty to tak hlasi.

Atributy nastaveny na všechno také může znamenat, že není nastaveno nic,
což se má chápat jako povoleno vše. Pokud tomu tak je, tak mám určitou
blbou zkušenost s openssl, že pokud se certifikát kontroluje proti
neprázdnému CRL a pokud nemá specifikované použití, tak to pak selhalo, 
přestože certifikát je OK. Ale tohle by mělo také vyplavat v logu
racoona.

M.




Další informace o konferenci Linux