Генерация сертиикатов для VPN
Alexander GQ Gerasiov
генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
отличается от easyrsa? Или может еще что вменяемое есть?
--
Best regards,
Alexander GQ Gerasiov
Contacts:
e-mail: g...@cs.msu.su Jabber: g...@jabber.ru
Homepage: http://gq.net.ru ICQ: 7272757
PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Artem Chuprina
AGG> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
AGG> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и
AGG> чем отличается от easyrsa? Или может еще что вменяемое есть?
Ну, easy-rsa, когда я его увидел, в общем, оказался вполне вменяем, и
после одного пинка даже завелся. Я, впрочем, пользуюсь для OpenVPN той
же CA, что и для всех остальных ключей, и работаю непосредственно
командой openssl. Что именно ей надо сказать, каждый раз подсматриваю в
SSL Certificates HOWTO.
На мой взгляд, easy-rsa ничуть не изее собственно openssl. Если ты им
пользуешься нерегулярно, ты и сам забудешь, что ему говорить, а если
регулярно, то и команды openssl будешь помнить наизусть. Я, во всяком
случае, помнил, когда для тестов гонял их регулярно.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
Нужны две программы - одна с интерфейсом, а другая чтобы работу делала.
Victor Wagner в <aut24i$gct$1...@wagner.wagner.home>
sergio
и я тоже openssl пользую
через некоторе время работы с ней, она становится более понятно, и порой
хватает даже мана.
> Что именно ей надо сказать, каждый раз подсматриваю в SSL Certificates HOWTO.
ну и ctrl-r тоже рулит
--
sergio
Dmitry E. Oboukhov
> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
> отличается от easyrsa? Или может еще что вменяемое есть?
когда один сервер и множество клиентов
а для соединения точка-точка достаточно того что в мане написано:
openvpn [ --genkey ] [ --secret file ]
Maxim Kudelya
> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
> отличается от easyrsa? Или может еще что вменяемое есть?
cd /etc/openvpn/easy-rsa
. ./vars
./build-key user1
--
maxym
Artem Chuprina
>> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
>> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
>> отличается от easyrsa? Или может еще что вменяемое есть?
MK> Для OpenVPN:
MK> cd /etc/openvpn/easy-rsa
MK> . ./vars
MK> ./build-key user1
Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания
сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был
второй openvpn-линк) пришлось решать втроем :-)
Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком,
хорошо знающим, как устроен openssl в частности и PKI вообще.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
Истинно православная ОС всего одна - да-да, та самая, в которой иконы и службы.
-- <lj user=pzrk>
Artem Chuprina
>> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
>> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
>> отличается от easyrsa? Или может еще что вменяемое есть?
DEO> я вообще не понял зачем там куча сертификатов, они емнип нужны
DEO> только когда один сервер и множество клиентов а для соединения
DEO> точка-точка достаточно того что в мане написано:
При использовании openvpn очень часто клиентов, в натуре, более одного.
Доступ сотрудникам с личных машин во внутреннюю сеть, ага.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
Don't worry about what anybody else is going to do. The best way to
predict the future is to invent it.
-- Alan Kay
Maxim Kudelya
> >> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
> >> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
> >> отличается от easyrsa? Или может еще что вменяемое есть?
> MK> Для OpenVPN:
> MK> cd /etc/openvpn/easy-rsa
> MK> . ./vars
> MK> ./build-key user1
>
> Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания
> сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был
> второй openvpn-линк) пришлось решать втроем :-)
>
> Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком,
> хорошо знающим, как устроен openssl в частности и PKI вообще.
--
maxym
Artem Chuprina
>> >> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
>> >> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
>> >> отличается от easyrsa? Или может еще что вменяемое есть?
>> MK> Для OpenVPN:
>> MK> cd /etc/openvpn/easy-rsa
>> MK> . ./vars
>> MK> ./build-key user1
>>
>> Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания
>> сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был
>> второй openvpn-линк) пришлось решать втроем :-)
>>
>> Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком,
>> хорошо знающим, как устроен openssl в частности и PKI вообще.
MK> И как решили?
Почитали ругань скрипта, подсунули ему файл по-другому и удалили
ненужный раздел из егойного openssl.cnf. Квалификация требовалась для
того, чтобы правильно прочесть диагностику (ну, благо за три года работы
с openssl я научился ее читать) и осознать, что раздел ненужный, и проще
его удалить.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
IBM poster explaining virtual memory, circa 1978
Nicholas
> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
> генерит?
http://www.ejbca.org/
http://sourceforge.net/projects/ejbca/
http://www-128.ibm.com/developerworks/grid/library/gr-jsc/?ca=dgr-lnxw961ManageX.509
http://www.openit.it/index.php/openit_en/software_libero/openvpnadmin
http://tinyca.sm-zone.net/
https://www.openca.org/
http://pki.fedoraproject.org/wiki/PKI_Main_Page
http://freshmeat.net/projects/tinyca/
Если вручную - то удобнее скрипты опевпн, если нужно все
автоматизировать - то ejbca.
--
Sincerely,
Nicholas
apm
> https://www.openca.org/
openca выглядит вполне прилично.
Странно что не включено в репы дебиана.
Никто не собирал?
Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn
менеджеру через web interface, что б меня не дергали ключи генерить.
Пошел было по неверному пути, прикрутил pam_pgsql, pam, openvpn вместе,
и сделал простенький веб интерфейс для правки таблицы постгреса с
паролями для vpn.
И тут наткнулся на тупик, мне помимо паролей нужно что б и по
сертификатам авторизовываться можно было (ряд рабочих станций, где нет
операторов и некому пароли вводить), вот и ищу решение для глючей.
Посмотрел модуль openvpn для webmin, выглядит страшно.
Попробую собрать openca
Nicholas
>Я как раз мучаюсь проблемой как отдать управление сертификатами
openvpn >менеджеру через web interface, что б меня не дергали ключи
генерить.
openca - не пробовал.
А вот как это выглядит в ejbca:
1. Вы создаете профайлы сертификатов суперпользователем (все через веб)
в которых задаете обязательные и необязательные параметры, которые либо
зафиксированны либо могут меняться при создании. (клиентский/серверный,
для почты/для веба/для всего, алгоритм и т.д. - любые опции которые есть
в доках по openssl - все "галочками" )Я как раз мучаюсь проблемой как
отдать управление сертификатами openvpn менеджеру через web interface,
что б меня не дергали ключи генерить.
2. Создаете админов (хотя бы одного) и разрешаете каждому админу
использовать определенные профайлы (каждый профайл под свою задачу или
домен удобно сделать - что бы стандартные данные подставлял при генерации)
3. Админы могут "создавать" (отзывать/обновлять) сертификаты
пользователей - в результате получается логин и пароль который
передается конечному пользователю.
4. Пользователь может залогиниться через веб и скачать сертификат
(только тогда он и сгенерится и только один раз - если недруг перехватил
письмо с паролем это сразу выявится, второй раз пароль использовать
нельзя). Причем пользователь тоже может менять свойства сертификата
(например длину или форму в зависимости от ОС ), если такая опция
разрешена админом. При генерации создается пакет в который включены
ключи в нужной форме (pki например) и необходимый софт, также автоматом
может генериться пользовательский конфиг openvpn (для каждого свой - со
своими именами ключей, если надо), могут добавляться и другие
файлы/проги, может генериться инсталяционный exe файл для win, если
клиент галочку ставит - он один и опен впн поставит и все остальное за раз.
Все это через веб, выглядит очень просто, по каждому клиенту видна
история - когда что создавалось, кем, с какого ip забиралось, когда
отзывалось.
Лицензия LGPL.
Единственный минус - требует джаву.
--
Sincerely,
Nicholas
apm
>
> Лицензия LGPL.
>
> Единственный минус - требует джаву.
>
Спасибо за подробное описание.
Что то подобное и ищется.
Попробую посмотреть на ejbca еще раз.
Ява, да пугает. Отсутсвие в репах дебиана тоже.
apm
Запрос HTTP послан, ожидается ответ... 200 OK
Длина: 35287206 (34M) [application/zip]
34 Мегабайта?
>
> Единственный минус - требует джаву.
>
Думаю не единственный.
Victor Wagner
> Nicholas пишет:
> >https://www.openca.org/
>
> openca выглядит вполне прилично.
> Странно что не включено в репы дебиана.
>
> Никто не собирал?
Плавали, знаем. Это не монстр, это МО-О-ОНСТР. Это решение для
национального удостоверяющего центра (и в некоторых европейских странах
именно так и используется).
Ставить openca для управления сертификатами в корпоративном OpenVPN все
равно что ставить Oracle +SAP для ведения домашней бухгалтерии.
Нет, конечно, если ваша фирма называется Газпром или там Nokia, то для
её размеров openca - в самый раз.
> Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn
> менеджеру через web interface, что б меня не дергали ключи генерить.
Э, тут надо разобраться сначала самому, что должен делать пользователь,
что менеджер, и при каких обстоятельствах ключи ни за что не должны
покидать машину, на которой сгенерены.
Потом объяснить это менеджеру.
Вообще легкие варианты на тему CA существуют - tinyca, pyca.
Но все они в основном рассчитаны на менеджмент клиентских сертификатов
для HTTPS, т.е. на то, что ключ генерится браузером. В принципе, можно,
конечно пойти и по этому пути - ключ генерируется браузером, заявка
уходит через web в CA, генерируется сертификат, устанавливается в
браузер (благо в браузере это просто, и любому самому тупому юзеру понятно)
Потом из браузера ключ с сертификатом экспортируются в PKCS#12. А уже
PKCS#12 потом втаскивается в openvpn. Благо это очень просто делается
одной командой openssl pkcs12.
Аналогичный способ работы с сертификатами подписи E-Mail реализован в
mutt (в смысле - дебиановском пакете mutt). Ничего, работает
Vladimir Elizarov
> Nicholas пишет:
>>
>> Лицензия LGPL.
>>
>> Единственный минус - требует джаву.
>>
>
> Спасибо за подробное описание.
> Что то подобное и ищется.
> Попробую посмотреть на ejbca еще раз.
> Ява, да пугает. Отсутсвие в репах дебиана тоже.
>
>
как есть.
Artem Chuprina
a> openca выглядит вполне прилично.
Ключевое слово - "выглядит".
Нет, говорят, оно даже работает. Но если у тебя не дохрена PKI-работы,
то связываться с этим монстром особого смысла нет. Дольше настраивать
будешь.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
Как в notepad тексты редактировать? Руками каждую букву набирать, что ли?
(c)vitus
Victor Wagner
> Нет, говорят, оно даже работает. Но если у тебя не дохрена PKI-работы,
> то связываться с этим монстром особого смысла нет. Дольше настраивать
> будешь.
Договаривай фразу до конца:
Дольше настраивать, чем писать полностью свое решение для небольшого
CA.
Maxim Kudelya
> >> >> Господа, а кто как SSL сертификаты для всяких OpenVPN и прочего
> >> >> генерит? Easy-rsa? Самописные скрипты? Если второе, то почему и чем
> >> >> отличается от easyrsa? Или может еще что вменяемое есть?
> >> MK> Для OpenVPN:
> >> MK> cd /etc/openvpn/easy-rsa
> >> MK> . ./vars
> >> MK> ./build-key user1
> >>
> >> Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания
> >> сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был
> >> второй openvpn-линк) пришлось решать втроем :-)
> >>
> >> Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком,
> >> хорошо знающим, как устроен openssl в частности и PKI вообще.
> MK> И как решили?
>
> Почитали ругань скрипта, подсунули ему файл по-другому и удалили
> ненужный раздел из егойного openssl.cnf. Квалификация требовалась для
> того, чтобы правильно прочесть диагностику (ну, благо за три года работы
> с openssl я научился ее читать) и осознать, что раздел ненужный, и проще
> его удалить.
одному ключу? Или одновременно только с одной, но в обоих случаях
использовался один и тот же ключ?
--
maxym
Artem Chuprina
>> >> Это пока у тебя юзер виндовый, которому насрать. А задачу выписывания
>> >> сертификата на имеющийся ключ к моему ноутбуку (ага, у него это был
>> >> второй openvpn-линк) пришлось решать втроем :-)
>> >>
>> >> Не, то есть оно решалось и в одиночку за 10 минут. Но - человеком,
>> >> хорошо знающим, как устроен openssl в частности и PKI вообще.
>> MK> И как решили?
>>
>> Почитали ругань скрипта, подсунули ему файл по-другому и удалили
>> ненужный раздел из егойного openssl.cnf. Квалификация требовалась для
>> того, чтобы правильно прочесть диагностику (ну, благо за три года работы
>> с openssl я научился ее читать) и осознать, что раздел ненужный, и проще
>> его удалить.
MK> Как я понял он работал одновременно с двумя независимыми VPN сетями
MK> по одному ключу? Или одновременно только с одной, но в обоих
MK> случаях использовался один и тот же ключ?
Он - это кто? Скрипт или ноутбук? Скрипт с одной, ноутбук с двумя. По
одному ключу, да, но разным сертификатам (выписанным разными CA) на него.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: r...@jabber.ran.pp.ru
У кошки четыре ноги: ввод, вывод, земля и питание.