Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

CA esterno e Server certificate

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Mar Feb 24, 2009 5:10 pm    Oggetto: CA esterno e Server certificate Rispondi citando

Salve, mi trovo di nuovo a postare, stavolta per un dubbio..
Il mio scopo è quello di usare un CA esterno, nello specifico CAcert ed usare un certificato server da lui rilasciato.

Visto che è richiesta da parte del CA la verifica del dominio e visto che l'appliance esce sulla rete internet con un ip dinamico, tuttavia possiedo un dominio registrato a mio nome, ho deciso di creare un account con dyndns e di impostare un record cname (con nome zeroshell, così da evitare di usare un nome di dominio tipo dyndns.biz) per il mio dominio che puntasse all'host dell'account appena citato. Così facendo ho configurato un host su zeroshell del tipo zeroshell.miodominio.it, ho verificato miodominio.it con CACert, ho generato un CSR ed una chiave privata, ed ho caricato importato su zeroshell il certificato restituitomi da CACert (generato a partire dal CSR) con la chiave privata. Oltre a questo ho importato il suo root certificare nei trusted CAs..

Poi ho cambiato tutte le impostazioni di protocolli/servizi che utilizzano certificati per farli lavorare con il certificato emesso da CACert..

Qui nascono i miei dubbi..
Ho revocato ed eliminato il certificato base emesso dal CA locale e incorro in due problemi:

1)quando creo nuovi utenti non gli viene generato alcun certificato, anzi viene scritto error sulla pagina relativa al certificato..

Forse è normale perchè essendo l'emittente un terzo zeroshell non può generare un certificato per conto di CACert..

2)Gli utenti non possono più loggarsi nel captive portal..

A questo punto sono disorientato, non credo io debba manualmente generarmi un client certificate per ogni utente che aggiungo...
Ma non voglio nemmeno perdere la funzionalità di autenticare tramite https gli utenti del captive portal..

Non saprei proprio come procedere...

Forse sbaglio qualcosa ma non saprei come procedere..
Qualcuno mi farebbe un po' di luce ?

Grazie mille

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Feb 24, 2009 6:26 pm    Oggetto: Rispondi citando

Penso che si sia corrotto qualcosa nella CA Locale.
Da [X.509 CA][Trusted CAs] vedi tutto OK? dovresti avere due certificati di CA:

quello della Certification Authority locale e quello che hai importato. Se premi il tasti [View] ne puoi verificare lo stato.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Mar Feb 24, 2009 6:57 pm    Oggetto: Rispondi citando

Si riesco a vederli senza problemi..
Non c'entra nulla il fatto che ho eliminato il certificato locale ?

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Feb 24, 2009 7:12 pm    Oggetto: Rispondi citando

No, non centra. Comunque al riavvio tale certificato viene ricreato, anche nel tuo caso non è utilizzato perché ne hai selezionato uno esterno.
Prova il reboot e se non funziona ricrea la chiave privata e il certificato della CA locale. Tieni conto che così facendo perdi tutti i certificati degli utenti.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Mar Feb 24, 2009 8:14 pm    Oggetto: Rispondi citando

Niente... il problema persiste...
Creo un nuovo utente ma non mi genera i certificati..
Inoltre mi è sorto un altro dubbio... tra realm ed host, è normale avere due certificati diversi ? uno per l'host ed uno per il realm ?
Inizialmente quando avevo inizializzato il db avevo messo come host zeroshell.dominio.lan perchè non avevo ancora intenzione di usare un CA esterno con il mio FQDN, ora che le cose sono cambiate ho eliminato l'host zeroshell.miodominio.lan e creato l'host zeroshell.miodominio.it, ma il realm è rimasto quello.. E' bene cambiare anche il realm ?

Gli utenti li genero direttamente dalla sezione kerberos, può essere questo il problema della non-generazione del certificato ? Mi sembra strano..

Spero di venirne a capo..

Grazie

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Feb 24, 2009 11:42 pm    Oggetto: Rispondi citando

Ok, ora mi è chiaro il problema.
Gli utenti vanno creati da [Users][Add]. Così facendo, il sistema effettua le seguenti operazioni:

- Crea la entry LDAP nella OU people che contiene informazioni anagrafiche oltre che informazioni classiche dei POSIX Account (uid,gid, shell, homedirectory, ...). In LDAP viene anche creata una entry per l'autenticazione RADIUS;

- Crea il principal Kerberos 5 username@REALM e vi associa la password;

- Crea un certificato digitale per utente il cui subject sia del tipo
O=test, OU=Users, CN=pippo/emailAddress=pippo.pluto@example.com.

Se invece, come nel tuo caso, crei un principal direttamente nella sezione [Kerberos 5], Zeroshell non avrà informazioni sufficienti né per creare la entry LDAP né per generare il certificato X.509.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Mer Feb 25, 2009 2:21 am    Oggetto: Rispondi citando

Ciao Fulvio e grazie per la delucidazione, con quali comandi può essere fatto ciò da shell ?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it