ďťż
 
 
   OpenVPN - zarządzanie certyfikatami i listami CRL
 
 

Tematy
 
    
 

 

 

 

OpenVPN - zarządzanie certyfikatami i listami CRL




gruszyna - 19-02-2009 10:39
Witam,

Jestem współautorem projektu sToken Soft (http://soft.stoken.eu), którego zadaniem jest dostarczenie przenośnego GUI wspomagającego zarządzanie certyfikatami, listami CRL oraz nawiązywanie połączeń VPN. Interfejs użytkownika budowany jest na bazie openssl i openvpn. Całość dostępna jest na licencji GPL. Aktualnie zależy mi na zebraniu opinii dotyczących aplikacji wchodzących w skład pakietu. Jeśli więc ktoś chciałby przetestować to oprogramowanie, to będę wdzięczny za wszelkie uwagi (zwłaszcza krytyczne).

Poza tym chciałbym zaproponować jego używanie podczas konfiguracji własnych sieci VPN.

Pozdrawiam,
Andrzej Chmielowiec,
CMM Sigma


TooMeeK - 20-02-2009 15:08
Ja jestem zainteresowany niestety z braku czasu nie wiem kiedy to przetestuję.

Edit:
Brak pliku http://soft.stoken.eu/download/stokensoft_1.4-1.deb na serwerze.


gruszyna - 20-02-2009 15:26
Dziękuję za informacje. Był problem z ustawieniami poddomeny. Teraz wszystko powinno działać.


TooMeeK - 26-02-2009 13:24
ÂŚmiga :) dzięki.
Jak znajdę czas to zajrzę do tego pakietu.


yage - 18-03-2009 18:29
Witam.
Przetestowałem ten program i jak dla mnie jest idealny. Super prosto zarządza się certyfikatami. W tej chwili tylko ja używam tego do połączenia z siecią firmową i właśnie zastanawiam się nad podłączeniem innych użytkowników. Używam serwera na Debianie, a klienta i zarządzanie certyfikatami na Windowsie.
Mam jedną sugestie co do GUI klienta (sToken SoftVPN), mianowicie możliwość zablokowania przycisków konfiguracji i usunięcia połączenia np. hasłem, tak żeby "przypadkowo" klikający użytkownik bezwiednie nic nie zmienił/skasował.
Pozdrawiam.


gruszyna - 05-05-2009 10:04
Niedługo pojawi się wersja 1.5. Jest trochę zmian w programie sToken SoftVPN. Zlikwidowaliśmy między innymi przyciski i zastąpiliśmy je menu kontekstowym (prawy przycisk). Poza tym połączenie jest aktywowane podwójnym kliknięciem wybranego połączenia.

Dodaliśmy też obsługę PKCS#12 (teraz będzie można użyć jednego pliku do konfiguracji połączenia). Myślę, że będzie to przydatne dla niewprawionych użytkowników. Często zdarzało się, że ludzie mylili certyfikat urzędu z własnym (wtedy oczywiście nie można nawiązać połączenia).

Będzie też możliwość generowania kluczy użytkowników bezpośrednio w urzędzie. Podczas instalacji w wielu firmach okazało się, że typowym podejściem jest generowanie kluczy przez administratora i ich późniejsza dystrybucja. Taka funkcjonalność powinna więc ułatwić życie adminom.


jacexx - 09-07-2009 09:45
Witam, co do pakietu zainstalowałem go kilka dni temu i działa to wszystko bardzo ładnie, do tego dobrze napisana instrukcja gdzie brakuje jedynie informacji, że przy tworzeniu certyfikatu dla klienta trzeba na końcu podać hasło, brak tej informacji może kogoś zmylić. Natomiast zastanawia mnie jak by to wszystko miało działać przy kilku użytkownikach (kilkunastu) czy dla każdego użytkownika trzeba tworzyć osobny certyfikat? Dlaczego można nawiązać tylko jedno połączenie wykorzystując raz utworzone certyfikaty? I dlaczego maska klienta podsieci ustawia się na 255.255.255.252 co by znaczyło, że można podłączyć tylko dwóch klientów. Jakby miała wyglądać konfiguracja dla kilkunastu użytkowników?


gruszyna - 09-07-2009 10:21
Uzupełnimy instrukcję przy najbliższej okazji (dzięki za uwagę).

Co do osobnego certyfikatu dla każdego użytkownika, to sprawa wygląda tak, że openvpn można skonfigurować na dwa sposoby:
    l(1) możliwość jednoczesnego podłączania użytkowników o takiej samej nazwie,
    (2) możliwość jednoczesnego podłączenia tylko jednego użytkownika o danej nazwie.l
Sprawdź odpowiednią opcję w podręczniku openvpn.

W każdym razie log serwera zawiera nazwy użytkowników oraz czas połączeń. Jeżeli wielu użytkowników ma ten sam certyfikat, to nie jesteś w stanie ich zidentyfikować.

Co do maski, to sprawa wygląda tak, że najpierw podajesz openvpn-owi informację o sieci wirtualnej, której ma używać, np.: 10.8.0.0 255.255.255.0. Z tej sieci openvpn będzie wybierał dla każdego połączenia nową sieć i nadawał jej maskę 255.255.255.252 (możesz utworzyć 64 połączenia). To taki urok tego rozwiązania i tyle.

Konfiguracja dla kilkunastu użytkowników ma wyglądać podobnie, jak w przypadku jednego. Trzeba wygenerować certyfikaty (najlepiej dla każdego osobny, bo wtedy nie ma problemu z usunięciem konkretnego użytkownika z sieci). Jeśli używasz wersji 1.5, to najlepiej generować klucze PKCS#12 (to jeden plik zamiast 3). Jeśli skonfigurowałeś połączenie dla pojedynczego użytkownika, to tak samo należy postąpić w przypadku pozostałych. Openvpn ich podłączy i maska połączenia tunelowego 255.255.255.252 nie ma tu nic do rzeczy. Przy konfiguracji 10.8.0.0 255.255.255.0 powinieneś móc nawiązać 64 jednoczesne połączenia,


jacexx - 09-07-2009 13:37
Dziękuje za odpowiedz i już bez dłubania w konfigu (nie mogę znaleźć tej opcji) pozostanę przy wygenerowaniu nowego klucza dla każdego użytkownika. Teraz tylko pytanie bo w Stoken SoftVpn mamy trzy pliki:

Certyfikat urzędu: ca.cert
Certyfikat użytkownika: vpn_client.cert
Klucz użytkownika: client.key

które z nich muszą zostać (jeśli w ogóle muszą), a które powinienem wygenerować na nowo dla nowego użytkownika?

Na serwerze znajdują sie wszystkie wymagane pliki i rozumiem że na nim niczego nie trzeba zmieniać.


gruszyna - 09-07-2009 15:25
Certyfikat urzędu ca.cert jest identyczny dla wszystkich użytkowników. Proponuję jednak generować klucze w programie SoftCA - dodawanie użytkownika. Skorzystaj z opcji PKCS#12 - wtedy wszystkie niezbędne pliki zostaną spakowane w jeden (plik klucza, certyfikat użytkownika i urzędu). Program SoftVPN umożliwia konfigurację nowego połączenia zarówno w oparciu o osobne pliki, jak i certyfikat PKCS#12.Trzeba tylko wybrać odpowiednią opcję podczas tworzenia nowego połączenia.
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis