Jak w banku
Przygotowywanie certyfikatu dla OpenVPN
Do szyfrowania danych i autoryzacji komputerów w sieci zbudowanej za pomocą OpenVPN wykorzystywane są protokoły SSL/TLS oraz system certyfikatów. Mamy zatem do czynienia z metodą ochrony informacji podobną do tej stosowanej w bankowości elektronicznej albo w e-sklepach. Obsługę bezpiecznych protokołów zapewnia sprawdzona i ciesząca się dobrą opinią biblioteka OpenSSL. W sieci OpenVPN uwierzytelnianie bazujące na certyfikatach działa dwukierunkowo: stacja robocza uwiarygadnia się za pomocą cyfrowego paszportu na serwerze i odwrotnie.
Jeśli ktoś uważa, że system certyfikatów to zbyt skomplikowane zabezpieczenie, może ograniczyć się do uwierzytelniania maszyn-klientów za pomocą haseł. Trzeba jednak zdawać sobie sprawę, że taka uproszczona metoda ochrony danych jest znacznie mniej pewna. Zachęcamy zatem do skorzystania z certyfikatów – tym bardziej, że generowanie ich jest w OpenVPN dość proste. Do dyspozycji mamy zestaw skryptów o nazwie easy-rsa i właśnie dzięki nim uruchomimy własny urząd certyfikacyjny (CA, Certificate Authority) i przyznamy mu certyfikat główny. Działający urząd będzie podpisywał certyfikaty przydzielane serwerom i stacjom roboczym.
Wszystkie informacje opisujące proces uruchomienia CA i generowania certyfikatów znajdziemy w dokumencie OpenVPN-HOWTO w rozdziale "Setting up your own Certificate Authority (CA) and generating certificates and keys for an OpenVPN server and multiple clients". Zwracamy uwagę, że na serwerze, na którym usługa OpenVPN jest uruchamiana automatycznie, nie powinno się zabezpieczać klucza prywatnego hasłem. Inaczej sprawy mają się w przypadku klientów – ich cyfrowe paszporty należy w ten spopsób chronić. Dotyczy to zwłaszczas stacji ruchomych: notebooków, palmtopów, PDA itp. Unikniemy dzięki temu nieprzyjemności, na które bylibyśmy narażeni w przypadku utraty komputera przenośnego. Konieczność utworzenia haseł dla maszyn-klientów podkreślamy tym mocniej, że we wspomnianym przed chwilą dokumencie znajdziemy przykład generowania certyfikatów niezabezpieczonych. Odszukajmy więc w OpenVPN-HOWTO fragment opisujący sposób używania skryptu build-key-pass. Interesuje nas właśnie on, nie zaś zaprezentowany build-key.
Kiedy chcemy używać OpenVPN na większą skalę (na przykład w kilku sieciach LAN), musimy liczyć się z tym, że wygenerujemy mnóstwo certyfikatów. Możemy skorzystać wówczas z aplikacji TinyCA. Program zapisuje klucze klientów i informacje na temat CA w pliku typu PKCS12 który jest obsługiwany przez OpenVPN.
- Podziel się
