Как запретить доступ скомпрометированно



  • Я начал с того, что удалил его как пользователя в System:User Manager. Не помогло. Тогда я удалил скомпрометированный сертификат System: Cert Manager: Certificates. Он продолжает появляться в числе коннектов в "UDP:1194 Client connections"…
    У меня 2.0.2-RELEASE (i386) . Что я делаю не так?



  • Сделать Reset States или перезагрузить pfsense. Или отключите OpenVPN.



  • а разве сертификат надо не в отозванные?



  • просто перезагрузка не помогает. По прежнему можно попасть при помощи удаленного скомпрометированного сертификата во внутреннюю сеть. Но вот вопрос - если я уже удалил сертификат, то как его поместить в список отозванных?



  • В Сертификат менеджере есть же процедура отзыва сертификата.



  • @dvserg:

    В Сертификат менеджере есть же процедура отзыва сертификата.

    Конечно есть. Но я же самый умный! Я подумал, зачем мне выносить кому-то вотум недоверия, если я могу его расстрелять? И просто удалил сертификаты, которые у меня вызывали вопросы…
    А openVPN продолжает пропускать клиентов с ними :(
    И уже удаленный сертификат в список отозванных не включишь просто так.... Вот и думаю я горькую думу на тему - как плохо быть бестолковым...



  • Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.



  • @dvserg:

    Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.

    Попробовал через: Diagnostics: Execute command
    find / -name CompromUserNameWhichITryToFind.* -ls

    показывает как результат только саму команду, хотя должны быть туча Permission denied, насколько я понимаю ситуацию….



  • А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.



  • Если сертификат используется в данный момент - вы его не удалите. Запись о нем - возможно, да, его физически - нет.



  • dvserg
    системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная
    werter
    его и не надо удалять, сертификат надо поместить в список недоверенных. копать надо в сторону certificate revoked list. Насколько помню там хранятся имена сертификатов, а не сами сертификаты.

    • для начала -я бы по имени сертификата сделал юзерские настройки таковыми - что бы даже при подключении - толку от подключения небыло. Маршруты в никуда. обратную запись на левую сеть и тд.


  • Я вчера облазил много чего, но кроме корневого сертификата следов отозванных не нашел. Возможно не то искал - фиг его знает.

    системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная

    Может тогда поступить кардинально? Сделать невалидным корневой (или удалить), создать новый и перевыпустить остальные на основе нового?



  • @dvserg:

    А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.

    Это мысль. Только на этом пути у нас появляется вопрос с форматом сертификатов:

    В директории config клиента у нас есть файлы *.p12, *.key, *.ovpn. *.ovpn - файл описания конфигурации клиента, а p12 - в формате PKCS#12. И если о том, как преобразовать формат PKCS#12 и получить сертификат в формате X.509 PEM описано в https://www.pgpru.com/forum/kriptografija/sertifikatyderpemx509pkcs12, то в каком формате файл *.key и как преобразовать его? Я пока не понял…



  • Нет не здесь.
    В Revocation есть импорт



  • @dvserg:

    Нет не здесь.
    В Revocation есть импорт

    А где? Я вижу только возможность добавить в список отозванных один из сертификатов из выпадающего списка и кнопку Add:

    Загрузки сертификатов из файла я не вижу…



  • Я не работал плотно с сертификатами и возможно где-то ошибаюсь. Но вот как-то так.





Log in to reply