OpenVPN привязка клиента к железу\ip

0

1

Добрый день!

Заинтересовался таким вопросом, вот выдали клиенту его сертификаты для подключения к серверу , он взял и перенес их на другую машину, подарил,отдал и.т.д…

Как этого избежать,возможно ли , какая либо привязка к железу, защиту от копирования, установка в центр сертификации windows и.т.д?

Поделитесь опытом,мыслями на эту тему ?

Ссылка

←	Недоступен сервер по адресу интерфейса wireguard из lan

Закрытие порта для определенного IP

→

Если не доверяешь этому сертификату - отзови его.

nebularia ★★★
(25.04.20 13:12:45 MSK)

Установите ключ на смарт-карту или в TPM-чип компьютера.

ValdikSS ★★★★★
(25.04.20 13:17:49 MSK)

Ответ на: комментарий от ValdikSS 25.04.20 13:17:49 MSK

Это внешние носители, есть ли способ именно к компьютеру\windows привязать?

skynetyar ★
(25.04.20 13:59:14 MSK) автор топика

Ответ на: комментарий от nebularia 25.04.20 13:12:45 MSK

Сертификат можно перенести\подарить\украсть .и.тд., вот в чем дело, доверяю или нет это другой вопрос….

skynetyar ★
(25.04.20 13:59:58 MSK) автор топика
Последнее исправление: skynetyar 25.04.20 14:00:12 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от skynetyar 25.04.20 13:59:14 MSK

TPM, в т.ч. программный, внутри Intel ME (fTPM).

ValdikSS ★★★★★
(25.04.20 14:54:47 MSK)
Последнее исправление: ValdikSS 25.04.20 14:55:03 MSK (всего исправлений: 1)

Ответ на: комментарий от ValdikSS 25.04.20 14:54:47 MSK

А у Вас есть практика использования? Можно пожалуйста как то описать или ссылку скинуть на то как можно в моем случае применить ?

skynetyar ★
(25.04.20 15:40:04 MSK) автор топика

Ответ на: комментарий от skynetyar 25.04.20 15:40:04 MSK

В Windows TPM можно по умолчанию использовать как смарт-карту, в Linux для этого есть плагины для OpenSSL. OpenVPN поддерживает смарт-карты. Поищите в интернете.

ValdikSS ★★★★★
(25.04.20 15:56:33 MSK)
Последнее исправление: ValdikSS 25.04.20 15:56:55 MSK (всего исправлений: 1)

Ответ на: комментарий от ValdikSS 25.04.20 15:56:33 MSK

Вот искал ничего не нашел уж простите, практического применения нет, нашел только как с Рутокен применять и то как то мутно описано без практики…

skynetyar ★
(26.04.20 11:33:20 MSK) автор топика
Последнее исправление: skynetyar 26.04.20 11:33:37 MSK (всего исправлений: 1)

Просто дополнительно к сертификату сделай фильтр по src ip, раз уж так вопрос стоит.

slowpony ★★★★★
(26.04.20 11:42:30 MSK)

Ответ на: комментарий от skynetyar 26.04.20 11:33:20 MSK

https://sourceforge.net/p/openvpn/mailman/message/36174334/

Там описывается общий принцип взаимодействия с PKCS#11. Это если тебе для Linux. Для вендовых криптопровайдеров надо использовать другую опцию - cryptoapicert

Pinkbyte ★★★★★
(26.04.20 13:33:01 MSK)

Ссылка

Ответ на: комментарий от skynetyar 26.04.20 11:33:20 MSK

Первая ссылка на примере JaCarta
https://habr.com/ru/company/aladdinrd/blog/329880/

anc ★★★★★
(26.04.20 13:44:08 MSK)

Ответ на: комментарий от slowpony 26.04.20 11:42:30 MSK

На статику всех посадить =) Вот это самоизоляция =)

skynetyar ★
(26.04.20 20:17:21 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 26.04.20 13:44:08 MSK

Это все физические носители, мне же нужно хранить что то типа Крипто про я так думаю…

skynetyar ★
(26.04.20 23:42:44 MSK) автор топика

Ответ на: комментарий от skynetyar 26.04.20 23:42:44 MSK

Если у вас компьютеры ~2013 года и новее, то, с огромной вероятностью, в них есть встроенный чип Trusted Platform Module (TPM), и вы можете его использовать как смарт-карту. По ссылке выше от Pinkbyte описано, как это настраивать.