Jak zabránit přenesení OpenVPN certifikátu?

[iko]

zdravim vospolok,

mam openvpn klientov s certifikatmi (kazdy klient ma svoj). Da sa spravit nieco take, aby sa dane certifikaty nedali preniest na iny pocitac? Aby fungovali len z toho jedneho? Este doplnim, ze klient ma windows.

Vdaka za rady...

[Reklama]

[Sten]

Rychlá odpověď: ne

Dlouhá odpověď: teoreticky by se to dalo zabezpečit tak, že by OpenVPN běželo pod uživatelem SYSTEM a nikdo jiný než on by certifikát nemohl číst, ale dá se to snadno obejít

[Franta Kučera]

Můžeš ty certifikáty umístit na HW token a ten přidělat ocelovým lankem k bedně počítače. Víc se asi fakt dělat nedá :-)

[PCnity]

Skvele odpovede!

[iko]

Aj som si myslel ze to nepojde (aj ked by mohlo overovat ten certifikat aspon podla guid pocitaca alebo niecoho). Ani mi nejde tak o prenesenie ako o skopirovanie neopravnenym osobam). Tak to budem musiet vyriesit s pomocou HW tokena.

Vdaka...

[Reklama]

[alfi]

a co zašifrovat ho heslem? (umí se openvpn při spuštění doptat na passphrase?)

a jestli je klient windows, je v properties souboru na NTFS "encrypt", což znemožní čtení obsahu mimo aktuálního uživatele (pro jeden cert to asi není důležité, pro šifrování jiných souborů se pak ještě hodí zazálohovat klíč - pokud se ztratí, už to nepůjde rozkódovat). více třeba na http://en.wikipedia.org/wiki/Encrypting_File_System

[iko]

Heslo samozrejme na kluce mam, ale heslo sa da povedat inej osobe.