Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Защищенный паролем ключ клиента

    Scheduled Pinned Locked Moved Russian
    5 Posts 3 Posters 4.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      testsia
      last edited by

      Добрый день уважаемые форумчани.
      Нужна консультация. Есть сервер 2.3.2-RELEASE-p1 (amd64) "FreeBSD 10.3-RELEASE-p9  "
      На нем поднят OpenVpn сервер.
      Нужно что бы пользователи подключались по OpenVpn к серверу используя сертификат и секретный ключь+пароль (логин и пароль)
      С этим проблем нет все прекрасно работает
      Но задачу усложнили, теперь ко всему этому добру нужно что бы при подключении дополнительно запрашивался пароль на секретный ключ пользователя.
      Как это сделать через веб интерфейс?!?!
      Нашел инструкцию через консоль https://doc.pfsense.org/index.php/Easyrsa_for_pfSense
      Creating a password protected client key
      To create a new client key with password protection:
      cd /root/easyrsa4pfsense
      source vars
      ./build-key-pass clientXXXX
      Но если может через консоль должен уметь и через вэб.
      Подскажите как???

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Видимо только через консоль.

        P.s. Скоро еще и через ключ на флешке прикажут сделать.

        1 Reply Last reply Reply Quote 0
        • T
          testsia
          last edited by

          Задачу удалось решить через веб интерфейс, не так как хотелось но все же есть результат!
          Кому интересно набросал инструкцию:
          Создаем OpenVpn для клиента
          Для создания нового пользователя с использованием логина, пароля пользователя и (сертификат+ключ), а также пароля для (сертификата+ключ) необходимо выполнить следующее:

          1. Переходим в утилиту OpenVPN/Client Export Utility
          2. Выбираем свой сервер ВПН (Remote Access Server )
          3. В разделе Password Protect Certificate устанавливаем галочку, а в Certificate Password- пароль на контейнер *.p12 в котором будут  хранятся наши сертификаты и ключ клиента.
          4. Сохраняем изменения кнопкой Save as default
            Пароль мы задали, теперь создаем пользователя и генерируем для него сертификат и ключ
          5. Идем в System/User Manager/Users нажимаем ADD
          6. Задаем имя пользователя, логин+пароль, ниже устанавливаем галочку на «Click to create a user certificate»
          7. Заполняем имя сертификата, выбираем Certificate authority
          8. Возвращаемся в  утилиту OpenVPN/Client Export Utility  опускаемся в низ страницы и видим что появился наш пользователь, и мы можем импортировать настройки.
          9. В моем случае импортируем  Windows Installers (2.3.11-Ix01): x64-win6
          10. Осталось скачать клиента OpenVPN Community Client  с сайта производителя
            http://openvpn.net/index.php/open-source/downloads.html
            Установить и запустить ранее скачанную конфигурацию.
            На этом все, зная логины и пароли можно подключатся по VPN.
            Очень важно для создания нового пользователя проходим все пункты данной инструкции с самого начала.

          Вот так, теперь при подключении нужно ввести логин и пароль пользователя и дополнительно пароль на ключ.

          1 Reply Last reply Reply Quote 0
          • T
            testsia
            last edited by

            Все усложнилось еще больше!
            Теперь задача стоит таким образом что центр сертификации СА будет отдельным сервером который еще и изолирован от локальной сети.
            Я нашел прекрасную статью в которой расписано как это сделать с консоли. Но хочется делать все в веб интерфейсе.
            https://habrahabr.ru/post/233971/
            Я поставил новый Pfsense тот который изолирован, сгенерировал на нем СА (*.key *.cer)
            Теперь на сколько я понимаю иду на сервер на котором у меня OpenVpn и создаю запрос на генерацию сертификата для сервера "Create a Certificate Signing Reqest"
            Теперь я получил сертификат со статусом  "external - signature pending"
            Могу экспортировать его, но как подписать на сервере СА не понимаю
            Подскажите люди добрые!

            1 Reply Last reply Reply Quote 0
            • J
              Jetberry
              last edited by

              В вами же приведенной ссылке пишут:

              Файл ca.key представляет собой приватный ключ центра CA, он секретный, и его нельзя переносить на другие узлы вашей сети.

              Файл сертификата удостоверяющего центра ca.crt, напротив, открытый, и он будет нужен на узлах серверов и клиентов OpenVPN. Запишите файл ca.crt на USB флэш-диск, чтобы перенести на другие узлы.

              По вашему же ТЗ центр сертификации СА должен быть изолирован от локальной сети. Ну вот. Что вы хотите подписать еще?
              В центре сертификации создаете сертификаты, на впн-сервере и клиентах их используете. Вы без ca.key просто не сможете создать новые серверные и клиентские сертификаты. Вот и вся безопасность.
              Вот перевод OpenVPN HOWTO http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html
              Можно даже 2 центра СА сделать - один для сервера, другой - для клиента.

              Подписывайте сертификаты серверов в одном CA, а клиентские сертификаты в другом CA. Директива ca в конфигурации клиента должна ссылаться на CA, подписавший сертификат для сервера, в то время как директива ca в конфигурации сервера должна ссылаться на CA-файл, которым были подписаны сертификаты клиентов.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.