Begemotus
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, разбираюсь с TLS на OpenVPN. Перерыл все, не пойму! Как сказать OpenVPN, что бы он принимал только определенные сертификаты, а не все подряд, подписанные заданным в его конфиге CA?
Ведь получается, что OpenVPN примет к авторизации любой сертификат клиента, подписанный заданным CA. Т.е. например: получив сертификат для авторизации на Apache SSL, клиент может использовать этот сертификат и для авторизации на OpenVPN. Что неправильно!
Выход из этой ситуации: либо использовать отдельный CA для подписи сертификатов OpenVPN, что тоже не совсем правильно и неудобно. Все-таки CA в организации должен быть один.
либо использовать параметры --client-config-dir и --ccd-exclusive, которые требуют, что бы на каждое подключение был назначен свой конфиг файл. В таком случае при создании сертификата мы задаем COMMON NAME, например ovpn_xxxxx, то OpenVPN даст подключится только тем клиентам, если в папке config-dir есть конфиг файл ovpn_xxxxx, т.е. соответствующий CN клиентского сертификата.
немного поразмыслил - в принципе можно использовать --client-connect script. Проверять в нем, что COMMON NAME начинается с префикса opnvpn_ и в этом случае разрешать подключение. Ну и соответственно - в сертификатах, предназначенных для подключения к OpenVPN, COMMON NAME должно начинаться с префикса openvpn_
Но такое ощущение, что изобретаю велосипед. |
Всего записей: 106 | Зарегистр. 21-04-2003 | Отправлено: 11:21 06-09-2007 | Исправлено: Begemotus, 11:46 06-09-2007 |
|
это под хп сп2 
правда помог местный админ (бедняга, по пользователям ходит, настраивает, я б не выдержал 
) 
