[GTER] RES: VPN com IPSec
Danton Nunes
danton.nunes at inexo.com.br
Fri Sep 30 13:50:41 -03 2011
On Fri, 30 Sep 2011, Lista wrote:
> Danton, tem alguma documentação de como utilizar os certificados ao
> invés de passwords, e como implementar esses certificados nas
> estações?
tenho uma "história em quadrinhos" de como se faz isso no windows-7, mas
não está liberada para consumo em geral, pois tem especificidades de um
cliente nosso, quando for sanitizado e liberado para uso vou publicar em
nosso site.
tudo que precisei para fazer a coisa rodar no windows-7 (eu não entendo
porcaria nenhuma de windows!) achei no google. Um bom ponto de partida é
http://technet.microsoft.com/en-us/library/cc732283%28WS.10%29.aspx
mas a coisa não é complicada, os certificados (da CA e da estação) são
instalados exataemente como qualquer outro certificado, p.ex., para um
sítio https.
quando você configura a 'policy' de roteamento deve especificar que a
autenticação será por certificados e também escolher algoritmos mais
parrudos de criptografia, pois os que vem habilidados de fábrica no
windows-7 são fraquinhos e não conseguem acordo com um OpenSWAN normal,
então, entre enfraquecer o 'hub' e fortalecer a ponta, optamos pelo
segundo.
> No caso de alteração da certificação, qdo alterado no servidor da
> Matriz, esse certificado precisa ser repassado aos usuarios correto?
> Tem alguma forma dinamica que você utiliza para passar esses
> certificados para os usuarios?
tudo manual. os certificados de estação no nosso caso duram até dois anos
e o certificado da CA, se não me falha a memória. os certificados de
estação são pessoais, quando um funcionário que tem acesso à VPN em seu
notebook sai da empresa, seu certificado é revogado. A CRL é atualizada e
copiada para a máquina que roda o OpenSWAN via rsync. Essa é uma vantagem
dos certificados sobre segredos compartilhados.
quando um certificado de usuário expira, um novo é emitido e enviado para
o interessado por email em formatos PKCS-12 e PEM. o cara se vira para
instalar, se bem que no windows-7 isso significa, na prática, clicar no
ícone do certificado e next -> next -> finish.
-- Danton.
More information about the gter
mailing list