Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

AIUTO!!!!!!!! GESTIONE CERTIFICATI

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Ciccio80



Registrato: 16/02/07 12:05
Messaggi: 13

MessaggioInviato: Ven Mar 16, 2007 6:43 pm    Oggetto: AIUTO!!!!!!!! GESTIONE CERTIFICATI Rispondi citando

Ciao

scusate se vi disturbo ancora con le mie richieste di aiuto

Vorrei capire meglio la gestione dei certificati da parte di zeroshell.

Dopo aver impostanto una CA creo i vari certificati per user e host.
Nella pagina web di autentucazione di zeroshell c' è la possibilità di scaricare i certificati CA host user CRL......
I certificati user possono essere scaricati sia in formato PEM DER PCKS12.....
i primi due non contengono la chiave privata mentre PCKS12 si.
Io vorrei configurare un autenticazione con EAP-TLS quindi ho pensato di scaricare il certificato per l' user in formato PCKS12 in modo da poter estrarre anche la chiave privata.
Visto che il certificato PCKS12 è stato generato in automatico dalla CA di zeroshell (senza chiedermi password) come faccio a sapere qual' è la password che mi viene chiesta quando installo il certificato?
Se installo il certificato senza password per la chiave privata il portatile mi dice che manca un certificato valido per la conessione.

Questi sono i log del tentativo di conessione

16:11:32 TLS_accept:error in SSLv3 read client certificate A
16:11:32 --> verify error:num=3:unable to get certificate CRL
16:11:32 TLS Alert write:fatal:unknown CA
16:11:32 TLS_accept:error in SSLv3 read client certificate B
16:11:32 rlm_eap_tls: SSL_read failed in a system call (-1), TLS session fails.
16:11:32 Login incorrect: [ciccio] (from client D-Link port 0)

Ringrazio tutti per l' aiuto

Ciccio


L'ultima modifica di Ciccio80 il Mar Mar 20, 2007 11:28 am, modificato 1 volta
Top
Profilo Invia messaggio privato
Ciccio80



Registrato: 16/02/07 12:05
Messaggi: 13

MessaggioInviato: Mar Mar 20, 2007 11:24 am    Oggetto: Rispondi citando

Ciao

....mi ero dimenticato l' autenticazione con PEAP funziona perfettamente!!!!!!

...qualcuno mi aiuti!!!!!!!.....non riesco a capire perchè EAP-TLS non funziona.....io penso perchè non ho la password del certificato pkcs12 per estrarre la chiave privata.

AIUTOOOOOO!!!!!!! Crying or Very sad

Ciccio
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mar 20, 2007 11:35 pm    Oggetto: Rispondi citando

Ciao,
la CA X.509 di Zeroshell, quando esporta i certificati includendo la chiave privata utilizza una password nulla. E' ovvio che quando importi i certificati in Windows puoi impostare o meno una password a tua scelta.
Il tuo problema pertanto non è legato alla password che protegge la chiave privata, ma a qualcosa relativa all'importazione scorretta del certificato della CA e della CRL di cui, peraltro, potresti disabilitarne la verifica.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Ciccio80



Registrato: 16/02/07 12:05
Messaggi: 13

MessaggioInviato: Mer Mar 21, 2007 7:45 am    Oggetto: Rispondi citando

Ciao
.....grazie per la risposta

.....ma anche sulla pagina web di autenticazione di ZEROSHELL(liberamente acessibile) si possono scaricare certificati senza la protezione da password della chiave privata?
.....questo non genera un problema di sicurezza?
.....è possibile impostare una password?

Grazie mille

Ciccio
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mar 22, 2007 6:38 pm    Oggetto: Rispondi citando

Dalla pagina di autenticazione possono essere scaricati soltanto i certificati X.509 e non le relative chiavi private che invece possono essere scaricate solo da admin o dallo user proprietario che riesce ad autenticarsi.
Poiché i certificati contengono soltanto la chiave pubblica ciò non rappresenta un problema di sicurezza.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
FabioFabbrucci



Registrato: 23/05/07 16:24
Messaggi: 3

MessaggioInviato: Mer Mag 23, 2007 4:26 pm    Oggetto: Rispondi citando

Salve,
ho realizzato una rete WiFi EAP-TLS funzionante, basata apputo sui certificati.
Se imposto però nel radius "Check CRL" mi restituisce:

TLS_accept:error in SSLv3 read client certificate A
--> verify error:num=3:unable to get certificate CRL
TLS Alert write:fatal:unknown CA
TLS_accept:error in SSLv3 read client certificate B
rlm_eap_tls: SSL_read failed in a system call (-1), TLS session fails.
Login incorrect: [ffabbrucci] (from client CiscoAp1100 port 389 cli 0017.31de.d0ce)

E soprattutto non sono + accettati nemmeno i certificati corretti.
Quale può essere la soluzione?

grazie a tutti.
Fabio Fabbrucci.
Top
Profilo Invia messaggio privato
Format



Registrato: 18/06/07 11:21
Messaggi: 3

MessaggioInviato: Mer Giu 20, 2007 10:25 am    Oggetto: Rispondi citando

Vorrei porre una domanda forse banale...
Quali certificati devo esportare sul pc che rischiede allo switch l'autenticazione 802.1x basata sui certificati X.509, quindi EAP-TLS?
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it