[GTER] RES: VPN com IPSec

Danton Nunes danton.nunes at inexo.com.br
Fri Sep 30 13:50:41 -03 2011


On Fri, 30 Sep 2011, Lista wrote:

> Danton, tem alguma documentação de como utilizar os certificados ao
> invés de passwords, e como implementar esses certificados nas
> estações?

tenho uma "história em quadrinhos" de como se faz isso no windows-7, mas 
não está liberada para consumo em geral, pois tem especificidades de um 
cliente nosso, quando for sanitizado e liberado para uso vou publicar em 
nosso site.

tudo que precisei para fazer a coisa rodar no windows-7 (eu não entendo 
porcaria nenhuma de windows!) achei no google. Um bom ponto de partida é 
http://technet.microsoft.com/en-us/library/cc732283%28WS.10%29.aspx

mas a coisa não é complicada, os certificados (da CA e da estação) são 
instalados exataemente como qualquer outro certificado, p.ex., para um 
sítio https.

quando você configura a 'policy' de roteamento deve especificar que a 
autenticação será por certificados e também escolher algoritmos mais 
parrudos de criptografia, pois os que vem habilidados de fábrica no 
windows-7 são fraquinhos e não conseguem acordo com um OpenSWAN normal, 
então, entre enfraquecer o 'hub' e fortalecer a ponta, optamos pelo 
segundo.

> No caso de alteração da certificação, qdo alterado no servidor da
> Matriz, esse certificado precisa ser repassado aos usuarios correto?
> Tem alguma forma dinamica que você utiliza para passar esses
> certificados para os usuarios?

tudo manual. os certificados de estação no nosso caso duram até dois anos 
e o certificado da CA, se não me falha a memória. os certificados de 
estação são pessoais, quando um funcionário que tem acesso à VPN em seu 
notebook sai da empresa, seu certificado é revogado. A CRL é atualizada e 
copiada para a máquina que roda o OpenSWAN via rsync. Essa é uma vantagem 
dos certificados sobre segredos compartilhados.

quando um certificado de usuário expira, um novo é emitido e enviado para 
o interessado por email em formatos PKCS-12 e PEM. o cara se vira para 
instalar, se bem que no windows-7 isso significa, na prática, clicar no 
ícone do certificado e next -> next -> finish.

-- Danton.



More information about the gter mailing list