21T40 Uniewa偶nianie Certyfikat贸w OpenVPN [Konfiguracja]

CRL Cert

Wi臋cej miejsc do pos艂uchania:

Spotify

Link do artyku艂u.

Transkrypcja:

0:00 Wprowadzenie

0:14 Scenariusz

0:42 Odwo艂anie Certyfikatu

1:50 Generowanie Listy CRL

3:16 NAP Open VPN

6:25 Podsumowanie

Cze艣膰! Chcia艂by艣 si臋 dowiedzie膰, jak odwo艂a膰 ju偶 przyznany dost臋p w VPN-ie w oparciu o OpenVPN? Je偶eli tak, to w tym odcinku poka偶臋, jak to zrobi膰.

Jednak najpierw om贸wmy, jaki mamy scenariusz. Czyli mamy pracownika, w tym przypadku mamy Johna, kt贸ry ma wystawiony w艂a艣ciwy certyfikat i 艂膮czy si臋 prawid艂owo z naszym VPN-em. Czyli je偶eli wykona po艂膮czenie w oparciu o uwierzytelnienie certyfikatem, to takie po艂膮czenie zostanie wykonane. Sprawd藕my, czy ma w ramach tego VPN-u dost臋p do naszych zasob贸w wewn臋trznych. Widzimy, 偶e prawid艂owo wszystko dzia艂a. Teraz chcieliby艣my odwo艂a膰 ten certyfikat, poniewa偶 ju偶 nie wsp贸艂pracujemy z Johnem albo urz膮dzenie, na kt贸rym John u偶ywa艂 tego certyfikatu, zosta艂o skradzione lub zgubione. 呕eby to zrobi膰, trzeba si臋 zalogowa膰 na serwer certyfikacji. W ramach OpenVPN mamy tak膮 instytucj臋 jak centrum certyfikacji-CA, logujemy si臋 z uprawnieniami root.

Tu nam Radek przygotowa艂 eleganck膮 instrukcj臋, jak to zrobi膰. Przechodzimy
do katalogu naszego CA-w moim przypadku to jest nap-ca. Teraz wywo艂ujemy skrypt easyrsa z parametrem revoke dla u偶ytkownika John. Okej, potwierdzamy. Widzimy, 偶e tu commonName dla tego certyfikatu
jest john@contoso.com. Potwierdzamy. Wpisujemy prywatny klucz naszego urz臋du, potwierdzaj膮c, 偶e mamy odpowiedni膮 wiedz臋 do u偶ycia tej funkcjonalno艣ci. Widzimy, 偶e zosta艂 tutaj wygenerowany taki wniosek odwo艂ania. Teraz musimy wygenerowa膰 list臋 CRL, czyli list臋, kt贸ra b臋dzie zawiera艂a certyfikaty, kt贸rych numery seryjne zosta艂y odwo艂ane.

Przejd藕my do realizacji: easyrsa gen-crl, czyli wygenerowali艣my tutaj w tym przypadku sobie list臋 ju偶 zaktualizowan膮 odwo艂anych certyfikat贸w. Ona si臋 mie艣ci w pliku crl.pem, mamy tutaj gotow膮 list臋 w odpowiednim formacie.
To, co teraz potrzebujemy zrobi膰, Zawarto艣膰 tego pliku kopiujemy i przenosimy na serwer OpenVPN. Serwer OpenVPN jest serwerem, na kt贸rym terminujemy VPN-y i standardowo podzia艂 pomi臋dzy tym urz臋dem certyfikacji CA a NAP-OpenVPN jest po to, 偶eby podwy偶szy膰 poziom bezpiecze艅stwa. Czyli je偶eli chodzi o urz膮d CA, to u偶ywamy go tylko w momencie, kiedy generujemy certyfikaty, odwo艂ujemy te certyfikaty. W pozosta艂ym czasie ten serwer OpenVPN CA mo偶e by膰 spokojnie wy艂膮czony. Dzi臋ki temu mamy wy偶szy poziom zabezpieczenia, bo oczywi艣cie sercem naszego systemu jest wa偶no艣膰 i wiarygodno艣膰 naszego urz臋du certyfikacji.

Przechodzimy do NAP-OpenVPN naszego serwera, gdzie terminujemy VPN-y, logujemy si臋 z uprawnieniami roota. Przechodzimy do konfiguracji serwera OpenVPN. Katalog etc/openvpn-i w tym katalogu, najpierw skopiujmy sobie
istniej膮cy plik CRL jako backup, a nast臋pnie zmodyfikujmy nasz plik CRL i wklejmy tutaj now膮 warto艣膰, kt贸r膮 wygenerowali艣my w urz臋dzie certyfikacji.
Czyli przechodzimy, kopiujemy zawarto艣膰 ca艂ego pliku, a nast臋pnie wklejamy tutaj w NAP-OpenVPN. Mamy ju偶 tutaj zaktualizowan膮 zawarto艣膰 tego pliku. To, co jeszcze potrzebujemy zrobi膰, to w konfiguracji serwera OpenVPN nale偶a艂oby sprawdzi膰, czy serwer sprawdza ten plik CRL, wi臋c przechodzimy do linii, kt贸ra nam okre艣la konfiguracj臋 weryfikacji listy CRL. Je偶eli masz zakomentowan膮 tutaj t臋 lini臋, to znaczy, 偶e trzeba j膮 odkomentowa膰, 偶eby serwer sprawdza艂 plik odwo艂a艅 certyfikat贸w. Okej, to mamy zrealizowane.
Sprawd藕my, jak tam nasz John. I tu okazuje si臋, 偶e mimo 偶e wprowadzili艣my pewne zmiany na naszym serwerze, ten John jest ca艂y czas VPN-em pod艂膮czony do naszej sieci. To z tego powodu, 偶e to, 偶e my wygenerowali艣my nowy plik
CRL i zmienili艣my potencjalnie konfiguracj臋 sprawdzania tej listy, to nie wp艂ywa na ju偶 pod艂膮czonych u偶ytkownik贸w. Czyli je偶eli chcemy tego Johna roz艂膮czy膰, mo偶emy np. zrobi膰 tak膮 operacj臋, jak restart serwisu, oczywi艣cie roz艂膮czymy w tym momencie wszystkich u偶ytkownik贸w, trzeba mie膰 to na uwadze. Restartujemy serwis, on za艂aduje od nowa ten ca艂y serwer razem z plikiem konfiguracyjnym i list膮 CRL, kt贸r膮 weryfikuje. I teraz, je偶eli sprawdzisz
mo偶liwo艣膰 pod艂膮czenia si臋 Johna, to wida膰, 偶e VPN si臋 nie spina.

Mo偶emy jeszcze zobaczy膰, jak wygl膮da log po stronie serwera w tym przypadku. Sprawd藕my sobie logowanie i ograniczmy ten log do naszego Johna. Okej. I co tu mamy: po pierwsze, wida膰, 偶e by艂o tutaj po艂膮czenie o 14:54, z jakiego adresu` i tutaj by艂o po艂膮czenie prawid艂owe. Dosta艂 wewn臋trzny adres IP 10.27.27.26, zgodnie z konfiguracj膮. A nast臋pnie by艂o wys艂ane sent control, czyli informacja restart sesji. To by艂o zwi膮zane z restartem naszego serwisu. Ponownie John
pr贸bowa艂 si臋 pod艂膮czy膰, ju偶 w tym momencie nasz serwer sprawdza艂 list臋 odwo艂a艅 zaktualizowan膮 i mo偶emy zobaczy膰, 偶e weryfikacja Johna by艂a nieprawid艂owa, a powodem b艂臋du by艂 pow贸d odwo艂ania certyfikatu.

Jak widzisz, w tych kilku prostych krokach mo偶na odwo艂ywa膰 dost臋p VPN
w oparciu o OpenVPN dla wszystkich urz膮dze艅, kt贸rych nie chcemy w naszej sieci, np. w przypadku zgubienia lub zako艅czenia wsp贸艂pracy z danym wsp贸艂pracownikiem. Je偶eli masz pytania jakie艣 do konfiguracji tego typu funkcjonalno艣ci, to oczywi艣cie zach臋cam do pisania w komentarzu.

Na dzisiaj dzi臋kuj臋 Ci za uwag臋 i s艂yszymy si臋 ju偶 za tydzie艅.


Podobne wpisy

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *