LINUX.ORG.RU
ФорумAdmin

Можно ли для OpenVPN использовать сертификаты, изданные StartSSL

 , ,


0

2

Хочу поднять свой OpenVPN. Во многих мануалах рекомендуют подписывать сертификаты на локалхосте. Я хочу использовать сертификат от StartSSL.
Где-то пишут, что это нельзя сделать. Где-то пишут, что можно. Где-то пишут, что можно только на клиенте, а на сервере нельзя.
У кого есть опыт поднятия OpenVPN с личным сертификатом? Поделитесь опытом.

★★★★★

Где-то пишут, что можно только на клиенте, а на сервере нельзя

если [предположим] что можно только на клиенте — то вопрос — какой сертификат использован на сервере?

какой CA будет подписывать серверный сертификат, в случае когда клиентский сертификат подписывает StartSSL?

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от arto

В гугле:
serverfault

I want to setup OpenVPN server for my personal usage. I own domain and I have valid SSL certificate for this domain (issued by StartSSL).

No, you cannot use your issued certificate like that.

forum.synology

We have our Diskstation DS214+ setup for OpenVPN connexions. We have a certificate from StartSSL, NOT a self-signed one. I have made some slight modifications to the server and client config files to increase security. All is working perfectly fine.
However I have been unable to implement client certificates so that the client can verify the certificate of the server they are connecting to.

forum.mikrotik

You can use startssl.com to create both the private key and certificate for openVPN ...

CYB3R ★★★★★ ()
Последнее исправление: CYB3R (всего исправлений: 1)

аутентификации с помощью логина и пароля может использоваться без создания клиентского сертификата (серверный сертификат все равно нужен).

ты об этом ?

vel ★★★★★ ()
Ответ на: комментарий от vel

Можно и без клиентского сертификата. Главное — чтобы на сервере использовать мой сертификат.

CYB3R ★★★★★ ()

Любой можешь, в чем проблема? Главное, чтобы клиент доверял нужному CA.

Vovka-Korovka ★★★★★ ()

у каждого SSL сертификата есть назначение. Сертификат может быть клиентским или серверным.

Вместо того, чтобы задавать дурацкие вопросы уже давно бы сунул свои сертификаты и проверил.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Вместо того, чтобы задавать дурацкие вопросы уже давно бы сунул свои сертификаты и проверил.

У меня сейчас сервера нет.

CYB3R ★★★★★ ()
Ответ на: комментарий от zgen

Ну, вечером накачу на сервер образ системы и буду поднимать.

CYB3R ★★★★★ ()
Ответ на: комментарий от CYB3R

Я вообще не знаю, нужны ли мне клиентские сертификаты.

o_0 ..

если не нужны клиентские сертификаты — то и серверные наверно тоже не нужны

user_id_68054 ★★★★★ ()
Ответ на: комментарий от Vovka-Korovka

а... ну если так... но вобщем странно это как-то.

но вообще да.

# P.S.: ды пусть лучше напишет web-скрипт небольшой! который будет генерировать клиентские сертификаты — в обмен на капчу :-) . и сразу выдавать файл формата «*.ovpn» !

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 3)

В этом нет смысла. В клиентскую конфигурацию в OpenVPN уже включён серверный сертификат, дополнительной верификации не требуется (более того, OpenVPN такую верификацию не поддерживает).

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

В клиентскую конфигурацию в OpenVPN уже включён серверный сертификат

Откуда этот сертификат берется - из воздуха что-ли?

Vovka-Korovka ★★★★★ ()
Ответ на: комментарий от Legioner

Не серверный сертификат, а сертификат CA которым подписан серверный сертификат.
От самого серверного сертификата на клиенте задаётся только значение полей которые надо проверять у присланного сервером сертификата.

MrClon ★★★★★ ()

А можно не скромный вопрос? Нафейхуа? Я понимаю зачем это надо для всяких там HTTPS, там предполагается что есть список CA которым доверяет клиент и изменить его нельзя, но в OpenVPN предполагается что корень древа доверия задаётся для каждого соединения отдельно. Решение запилить свою PKI (с асимметричным шифрованием и security officer-ами).
Если самому с openssl возиться не охота то можно использовть например XCA (на удивление более-менее вменяемая гуйня). правда и тот и другой как-то уж очень быстро генерируют ключи, я им не особо доверяю. Но ведь можно и чем-то другим ключи генерировать (например ssh-keygen).

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

в него можно сертификаты и ключи вшивать?

это!

прям сразу после обычного конфига, через base64 засовываются все нужные сертифкатные файлы.. (хотя порядок не важен :))

формат такой:

blablabla blablabla
blablabla blablabla blablabla
blablabla blablabla blablabla blablabla
blablabla blablabla blablabla blablabla blablabla

<ca>
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
blablabla
-----END RSA PRIVATE KEY-----
</key>

# P.S.: расширение файла именно «*.ovpn» — делать не обязально (можно любое, в том числе и «*.conf») .. просто я написал «*.ovpn» для того чтобы было сразу понятно о чём речь :-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 4)
Ответ на: комментарий от Vovka-Korovka

Откуда этот сертификат берется - из воздуха что-ли?

Оттуда же, откуда берутся все остальные данные конфигурации — админ OpenVPN-а выдаёт.

Legioner ★★★★★ ()
Ответ на: комментарий от MrClon

Не серверный сертификат, а сертификат CA которым подписан серверный сертификат.

Да, спасибо за поправку.

Legioner ★★★★★ ()

Это бессмысленно. Да, ты можешь с некоторыми сложностями в стартссл выписать и клиентский и серверный серификаты, но тогда к твоему серверу сможет подключиться любой, получивший сертификат у стартссл (если на сервере нет доп.проверки tls_auth).

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.