Можно ли для OpenVPN использовать сертификаты, изданные StartSSL

0

2

Хочу поднять свой OpenVPN. Во многих мануалах рекомендуют подписывать сертификаты на локалхосте. Я хочу использовать сертификат от StartSSL.
Где-то пишут, что это нельзя сделать. Где-то пишут, что можно. Где-то пишут, что можно только на клиенте, а на сервере нельзя.
У кого есть опыт поднятия OpenVPN с личным сертификатом? Поделитесь опытом.

Ссылка

←	pfSense внутри proxmox. Проблема шлюза.

Изменение размера lvm

→

А где пишут?

arto ★★
(22.05.15 15:43:54 MSK)

Где-то пишут, что можно только на клиенте, а на сервере нельзя

если [предположим] что можно только на клиенте — то вопрос — какой сертификат использован на сервере?

какой CA будет подписывать серверный сертификат, в случае когда клиентский сертификат подписывает StartSSL?

user_id_68054 ★★★★★
(22.05.15 15:47:21 MSK)
Последнее исправление: user_id_68054 22.05.15 15:49:23 MSK (всего исправлений: 2)

Ответ на: комментарий от arto 22.05.15 15:43:54 MSK

В гугле:
serverfault

I want to setup OpenVPN server for my personal usage. I own domain and I have valid SSL certificate for this domain (issued by StartSSL).

No, you cannot use your issued certificate like that.

forum.synology

We have our Diskstation DS214+ setup for OpenVPN connexions. We have a certificate from StartSSL, NOT a self-signed one. I have made some slight modifications to the server and client config files to increase security. All is working perfectly fine.
However I have been unable to implement client certificates so that the client can verify the certificate of the server they are connecting to.

forum.mikrotik

You can use startssl.com to create both the private key and certificate for openVPN ...

CYB3R ★★★★★
(22.05.15 15:50:08 MSK) автор топика
Последнее исправление: CYB3R 22.05.15 15:51:30 MSK (всего исправлений: 1)

Ссылка

аутентификации с помощью логина и пароля может использоваться без создания клиентского сертификата (серверный сертификат все равно нужен).

ты об этом ?

vel ★★★★★
(22.05.15 15:51:21 MSK)

Ответ на: комментарий от vel 22.05.15 15:51:21 MSK

Можно и без клиентского сертификата. Главное — чтобы на сервере использовать мой сертификат.

CYB3R ★★★★★
(22.05.15 15:52:35 MSK) автор топика

Ссылка

Ответ на: комментарий от user_id_68054 22.05.15 15:47:21 MSK

Я вообще не знаю, нужны ли мне клиентские сертификаты.

CYB3R ★★★★★
(22.05.15 15:53:01 MSK) автор топика

Любой можешь, в чем проблема? Главное, чтобы клиент доверял нужному CA.

Vovka-Korovka ★★★★★
(22.05.15 15:56:39 MSK)

Ссылка

у каждого SSL сертификата есть назначение. Сертификат может быть клиентским или серверным.

Вместо того, чтобы задавать дурацкие вопросы уже давно бы сунул свои сертификаты и проверил.

~~zgen~~ ★★★★★
(22.05.15 16:15:35 MSK)

Ответ на: комментарий от zgen 22.05.15 16:15:35 MSK

Вместо того, чтобы задавать дурацкие вопросы уже давно бы сунул свои сертификаты и проверил.

У меня сейчас сервера нет.

CYB3R ★★★★★
(22.05.15 16:21:47 MSK) автор топика

Ответ на: комментарий от CYB3R 22.05.15 16:21:47 MSK

У меня сейчас сервера нет.

И в чем проблема?

~~zgen~~ ★★★★★
(22.05.15 16:30:11 MSK)

Ответ на: комментарий от zgen 22.05.15 16:30:11 MSK

Ну не буду же я OpenVPN на локалхосте поднимать?

CYB3R ★★★★★
(22.05.15 16:34:18 MSK) автор топика

Ответ на: комментарий от CYB3R 22.05.15 16:34:18 MSK

Хочу поднять свой OpenVPN.
Ну не буду же я OpenVPN на локалхосте поднимать?

Поднимай там, где хотел.

~~zgen~~ ★★★★★
(22.05.15 17:02:08 MSK)

Ответ на: комментарий от zgen 22.05.15 17:02:08 MSK

Ну, вечером накачу на сервер образ системы и буду поднимать.

CYB3R ★★★★★
(22.05.15 17:04:42 MSK) автор топика

Ссылка

Ответ на: комментарий от CYB3R 22.05.15 15:53:01 MSK

Я вообще не знаю, нужны ли мне клиентские сертификаты.

o_0 ..

если не нужны клиентские сертификаты — то и серверные наверно тоже не нужны

user_id_68054 ★★★★★
(22.05.15 17:13:30 MSK)

Ответ на: комментарий от user_id_68054 22.05.15 17:13:30 MSK

Почему? Если он хочет раздавать сервис всем, то клиентские сертификаты не нужны.

Vovka-Korovka ★★★★★
(22.05.15 18:17:13 MSK)

Ответ на: комментарий от Vovka-Korovka 22.05.15 18:17:13 MSK

а... ну если так... но вобщем странно это как-то.

но вообще да.

# P.S.: ды пусть лучше напишет web-скрипт небольшой! который будет генерировать клиентские сертификаты — в обмен на капчу :-) . и сразу выдавать файл формата «*.ovpn» !

user_id_68054 ★★★★★
(22.05.15 19:10:12 MSK)
Последнее исправление: user_id_68054 22.05.15 19:12:08 MSK (всего исправлений: 3)

В этом нет смысла. В клиентскую конфигурацию в OpenVPN уже включён серверный сертификат, дополнительной верификации не требуется (более того, OpenVPN такую верификацию не поддерживает).

~~Legioner~~ ★★★★★
(22.05.15 19:52:47 MSK)

Ответ на: комментарий от Legioner 22.05.15 19:52:47 MSK

В клиентскую конфигурацию в OpenVPN уже включён серверный сертификат

Откуда этот сертификат берется - из воздуха что-ли?

Vovka-Korovka ★★★★★
(22.05.15 20:12:02 MSK)

Ответ на: комментарий от Legioner 22.05.15 19:52:47 MSK

Не серверный сертификат, а сертификат CA которым подписан серверный сертификат.
От самого серверного сертификата на клиенте задаётся только значение полей которые надо проверять у присланного сервером сертификата.

MrClon ★★★★★
(22.05.15 21:01:45 MSK)

А можно не скромный вопрос? Нафейхуа? Я понимаю зачем это надо для всяких там HTTPS, там предполагается что есть список CA которым доверяет клиент и изменить его нельзя, но в OpenVPN предполагается что корень древа доверия задаётся для каждого соединения отдельно. Решение запилить свою PKI (с асимметричным шифрованием и security officer-ами).
Если самому с openssl возиться не охота то можно использовть например XCA (на удивление более-менее вменяемая гуйня). правда и тот и другой как-то уж очень быстро генерируют ключи, я им не особо доверяю. Но ведь можно и чем-то другим ключи генерировать (например ssh-keygen).

MrClon ★★★★★
(22.05.15 21:10:21 MSK)

Ссылка

Ответ на: комментарий от user_id_68054 22.05.15 19:10:12 MSK

А .ovpn это просто переименованный конфиг, или в него можно сертификаты и ключи вшивать?

MrClon ★★★★★
(22.05.15 21:12:35 MSK)

Ответ на: комментарий от MrClon 22.05.15 21:12:35 MSK

в него можно сертификаты и ключи вшивать?

это!

прям сразу после обычного конфига, через base64 засовываются все нужные сертифкатные файлы.. (хотя порядок не важен :))

формат такой:

blablabla blablabla
blablabla blablabla blablabla
blablabla blablabla blablabla blablabla
blablabla blablabla blablabla blablabla blablabla

<ca>
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
blablabla
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
blablabla
-----END RSA PRIVATE KEY-----
</key>

# P.S.: расширение файла именно «*.ovpn» — делать не обязально (можно любое, в том числе и «*.conf») .. просто я написал «*.ovpn» для того чтобы было сразу понятно о чём речь :-)

user_id_68054 ★★★★★
(22.05.15 21:15:37 MSK)
Последнее исправление: user_id_68054 22.05.15 21:22:34 MSK (всего исправлений: 4)

Ответ на: комментарий от user_id_68054 22.05.15 21:15:37 MSK

Спасибо, пригодится в хозяйстве.

MrClon ★★★★★
(22.05.15 21:27:21 MSK)

Ссылка

Ответ на: комментарий от Vovka-Korovka 22.05.15 20:12:02 MSK

Откуда этот сертификат берется - из воздуха что-ли?

Оттуда же, откуда берутся все остальные данные конфигурации — админ OpenVPN-а выдаёт.

~~Legioner~~ ★★★★★
(23.05.15 08:22:30 MSK)

Ответ на: комментарий от MrClon 22.05.15 21:01:45 MSK

Не серверный сертификат, а сертификат CA которым подписан серверный сертификат.

Да, спасибо за поправку.

~~Legioner~~ ★★★★★
(23.05.15 08:23:04 MSK)

Ссылка

Ответ на: комментарий от Legioner 23.05.15 08:22:30 MSK

А админ его откуда берет?

Vovka-Korovka ★★★★★
(23.05.15 10:38:04 MSK)

Это бессмысленно. Да, ты можешь с некоторыми сложностями в стартссл выписать и клиентский и серверный серификаты, но тогда к твоему серверу сможет подключиться любой, получивший сертификат у стартссл (если на сервере нет доп.проверки tls_auth).

blind_oracle ★★★★★
(23.05.15 11:47:28 MSK)