Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Non funziona CRL (Revocation List) sul OpenVPN

 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
tomas.paier



Registrato: 19/02/09 23:38
Messaggi: 4
Residenza: Torino

MessaggioInviato: Gio Apr 09, 2009 2:34 pm    Oggetto: Non funziona CRL (Revocation List) sul OpenVPN Rispondi citando

Sulla beta11, con la configurazione standard, nonostante un certo certificato utente segno come revocato, in quanto compromesso, quest'ultimo si collega tranquillamente senza problemi. Se ho capito bene, openvpn NON viene istruito di utilizzare il file di CRL - infatti aiuta aggiungere (sulla pagina di configurazione del VPN) come Command Line Parameter

Codice:
--crl-verify /var/register/system/openvpn/Auth/X509/CRLFile

è tutto è a posto.

in effetti, sollo shell di zeroshell trovo

Codice:
root@zeroshell Database> ps fax | grep vpn
 5249 ?        S      0:00 vpn --dev-type tap --dev VPN99 --mode server --tls-server --proto tcp-server --port 10150 --dh /etc/ssl/dh.pem --ca /var/register/system/openvpn/Auth/X509/CAFile --cert /var/register/system/openvpn/TLS/cert.pem --key /var/register/system/openvpn/TLS/key.pem --daemon VPN99_H2L --comp-lzo --push  --push  --push  --push  --client-connect /root/kerbynet.cgi/scripts/ov_connect --client-disconnect /root/kerbynet.cgi/scripts/ov_disconnect --mute 3 --management 127.0.0.1 34099 --keepalive 5 60 --duplicate-cn


quindi senza il crl-verify.

Le descrizioni sugli Howto però portano a pensare che CRL sono abilitate di default - se qualcuno non lo prova e solo revoca un certificato, potrebbe trovarsi con le brutte sorprese...

Mi confermate il comportamento e la bontà della soluzione?
Grazie
Tomas Paier
Top
Profilo Invia messaggio privato
penzoiders



Registrato: 29/11/11 11:09
Messaggi: 3

MessaggioInviato: Mar Nov 29, 2011 11:14 am    Oggetto: Rispondi citando

hai ragione, funziona come dici te.

really dangerous.
Anche con la Beta16 bisogna mettere il parametro da linea di comando per far accettare la CRL.

Codice:
--crl-verify /var/register/system/openvpn/Auth/X509/CRLFile


Come nota metto che se si crea un utente in kerberos e non si revoca il certificato prima di eliminarlo il certificato resta valido anche se è eliminato.
Se ci si autentica solo con il certificato su openvpn (Only X.509 Certificate) l'utente in possesso di quel certificato cancellatoi sarà in grado di utilizzarlo fino al suo scadere.

Bisonga stare molto attenti a revocare il certificato prima di eliminare l'utente, sennò non ci sarà modo di bloccare quell'utente (o meglio: non so come fare se non aggiungendo l'autenticazione via password )
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it