OpenVpn concilier plusieurs certificats server avec ses utilisateurs associés ?



  • Bonjour,

    Actuellement équipé de la version 2.O de pfsense en RC3, j'ai une question pour laquelle j'aurai bien besoin de vos lumières.

    L’accès Vpn fonctionne sans mot de passe en mode remote accès SSL/ TLS. La procédure est simple il faut juste créer un utilisateur sur la pfsense avec le certificat associé qui va bien.
    Par contre lorsqu'on souhaite ajouter un utilisateur on peut soit reprendre le certificat que l'on a crée soit en créer un autre notamment pour que chaque utilisateur est son propre certificat (pour des raisons de sécurité) et  que l'on pourra facilement révoquer car il ne touchera qu'un utilisateur associé à son certificat (au lieu de l'ensemble des utilisateurs).
    Le souci c'est qu'actuellement on ne peut pas ajouter plusieurs certificat "server" lorsqu'on est dans l'onglet "server" de sa connexion Vpn on est obligé d'en sélectionner un unique.

    Chaque certificat étant associé à un utilisateur la seule "solution" est de créer autant de "server" qui pointe sur un port différent avec à chaque fois le certificat de l'utilisateur qui convient.

    C'est la seule solution que j'ai trouvé mais qui est très "moche".
    Donc comment concilier plusieurs certificat server-utilisateur avec une seule ligne dans la configuration server d'openvpn sur Pfsense?

    Merci pour vos futures réponses.



  • ???

    Cela s'appelle une PKI.

    Il y a une gestion intégré de certification (mais je ne vois pas le DH ni les certificats "serveur").

    Perso, j'ai mis en place un "phpki" (sur une base LAMP).
    (J'ai du modifier juste un peu le code pour éviter la saisie obligatoire d'une clé pass-phrase).
    On y créé, le CA, le DH, puis un certificat "serveur" et, enfin, les certificats utilisateurs.



  • Merci pour la réponse.
    Oui c'est ce que j'avais réalisé lorsque j'étais sur la version 1.2 de pfsense en générant à la "main" mes différents certificats et clés. Mais sur la version 2 tout a été modifié et je ne vois pas cette fichue option PKI qui pourrait permettre ce que je souhaites faire. Sur le screenshot que j'ai joint au post on voit bien les différents certificats servers à la ligne Certificate server mais le problème c'est qu'on ne peut en sélectionner qu'un seul.



  • Quelqu'un aurait il une solution pour mettre en place du PKI sur Pfsense 2 RC3 ?



  • Bon je réponds à ceux qui chercheraient aussi le PKI, il existe toujours sur la version 2 de pFsense sauf qu'en gros les termes ont un peu changé ainsi que la procédure à suivre.

    Voir le topic Anglais de Pfsense : http://forum.pfsense.org/index.php/topic,37494.0.html

    Alors la solution elle est simple par contre à l'heure actuelle au vu de la version de pfsense 2 RC3 on est obligé d'utiliser un seul certificat serveur pour tous les utilisateurs.

    Il faut donc créer son certificat authority puis son certificat server.

    Créer les utilisateurs, et leurs associés le certificat serveur.

    Choisir comme méthode de server : Remote acces SSL/TLS +user auth

    Donc quand on souhaites révoquer un utilisateur et sa clé il suffit de supprimer son compte local sur pfsense ou de le désactiver.

    Il doit y avoir d'autres possibilités grâce au certificat de révocation mais je n'ai pas encore eu le temps de me pencher dessus.

    J'espère que ça aidera ceux qui galère un peu ou ceux trop habitué à la version de Pfsense 1.2.x. :P



  • Il doit y avoir d'autres possibilités grâce au certificat de révocation mais je n'ai pas encore eu le temps de me pencher dessus.

    Oui les CRL. Certficate revocation list, préférable à la seule suppression de compte.


Locked