Jak zabránit přenesení OpenVPN certifikátu?

iko

  • ***
  • 148
    • Zobrazit profil
    • E-mail
Jak zabránit přenesení OpenVPN certifikátu?
« kdy: 22. 04. 2010, 13:49:53 »
zdravim vospolok,

mam openvpn klientov s certifikatmi (kazdy klient ma svoj). Da sa spravit nieco take, aby sa dane certifikaty nedali preniest na iny pocitac? Aby fungovali len z toho jedneho? Este doplnim, ze klient ma windows.

Vdaka za rady...
« Poslední změna: 22. 04. 2010, 20:18:52 od Petr Krčmář »


Sten

Re: openvpn a neprenositelny kluc
« Odpověď #1 kdy: 22. 04. 2010, 18:44:57 »
Rychlá odpověď: ne

Dlouhá odpověď: teoreticky by se to dalo zabezpečit tak, že by OpenVPN běželo pod uživatelem SYSTEM a nikdo jiný než on by certifikát nemohl číst, ale dá se to snadno obejít

Re: openvpn a neprenositelny kluc
« Odpověď #2 kdy: 22. 04. 2010, 20:08:25 »
Můžeš ty certifikáty umístit na HW token a ten přidělat ocelovým lankem k bedně počítače. Víc se asi fakt dělat nedá :-)

PCnity

  • *****
  • 692
    • Zobrazit profil
    • E-mail
Re: Jak zabránit přenesení OpenVPN certifikátu?
« Odpověď #3 kdy: 22. 04. 2010, 22:37:53 »
Skvele odpovede! :)

iko

  • ***
  • 148
    • Zobrazit profil
    • E-mail
Re: Jak zabránit přenesení OpenVPN certifikátu?
« Odpověď #4 kdy: 23. 04. 2010, 07:48:46 »
Aj som si myslel ze to nepojde (aj ked by mohlo overovat ten certifikat aspon podla guid pocitaca alebo niecoho). Ani mi nejde tak o prenesenie ako o skopirovanie neopravnenym osobam). Tak to budem musiet vyriesit s pomocou HW tokena.

Vdaka...


alfi

Re: Jak zabránit přenesení OpenVPN certifikátu?
« Odpověď #5 kdy: 23. 04. 2010, 10:44:25 »
a co zašifrovat ho heslem? (umí se openvpn při spuštění doptat na passphrase?)

a jestli je klient windows, je v properties souboru na NTFS "encrypt", což znemožní čtení obsahu mimo aktuálního uživatele (pro jeden cert to asi není důležité, pro šifrování jiných souborů se pak ještě hodí zazálohovat klíč - pokud se ztratí, už to nepůjde rozkódovat). více třeba na http://en.wikipedia.org/wiki/Encrypting_File_System

iko

  • ***
  • 148
    • Zobrazit profil
    • E-mail
Re: Jak zabránit přenesení OpenVPN certifikátu?
« Odpověď #6 kdy: 23. 04. 2010, 10:47:12 »
Heslo samozrejme na kluce mam, ale heslo sa da povedat inej osobe.