[gl-como] certificati

Pietro Bertera pietro@bertera.it
Mer 5 Apr 2006 09:16:30 CEST


Il giorno mar, 04/04/2006 alle 22.53 +0200, francesco ha scritto:
> C' qualcuno che mi pu spiegare come diavolo funziona la storia dei 
> certificati nelle vpn (Od in generale) ?
> 
> stavo provando a casa openvpn (E funziona alla grande)
> per poter fare una cosa seria per serviva uno scambio di file firmati e 
> certificati (Qualcosa del genere)
> 
> L'ho fatto prendendo questa guida: 
> http://guide.debianizzati.org/index.php/Openvpn
> 
> (Peraltro fatta molto bene)
> 
> l'ho seguita ed ho tirato in piedi la VPN.
> Il problema  che non ci ho capito una mazza sul cosa stessi facendo nel 
> momento in cui creavo le chiavi e scambiavo i certificati.
> 
> Qualche anima pia pu illuminarmi ?
> 
> ciao

In rapida e confusionaria sintesi:

In genere ci sono 2 metodi per "securizzare" una connessione (che sia
una VPN o una punto-punto): cifrare ed autenticare tramite delle chiavi
pre-condivise (Pre Shared Keys) oppure utilizzare la crittografia
asimmetrica (Coppia di chiavi pubblica e privata).

La PSK  la piu' semplice: i due peer condividono un segreto che viene
utilizzato per autenticarsi, per la cifratura poi magari si utilizzano
delle chiavi costruite con il protocollo Diffie Hellman.

La crittografia asimmetrica  la solita solfa di chiave pubblica e
privata.

I certificati sono dei contenitori di chiavi pubbliche rilasciati da un
ente trusted (Certification Authority).
In pratica un certificato  una chiave pubblica + altri parametri (data
di generazione, data di scadenza, proprietario, algoritmi utilizzati,
ecc..).
Inoltre un certificato  firmato dalla CA.

Quindi quello che hai dovuto fare sar stato:
- creare la CA (consiste nel creare chiave un certificato self-signed e
la sua relafiva chiave)
- creare un nuovo certificato (viene creata una coppia di chiavi e
vengono assegnati i parametri)
- firmare il nuovo certificato con la chiave privata della CA

Poi in OpenVPN avrai dovuto usare i parametri ca, cert e key
ca  il certificato cella CA
cert  il tuo certificato
key  la chiave privata del tuo certificato

In pratica cert e key sono la tua coppia di chiavi pubblica e privata e
ca  la chiave pubblica della CA.
La chiava della CA ti serve per verificare se il certificato dell'altro
peer  stato rilasciato veramente dalla CA.

Ciao



Maggiori informazioni sulla lista gl-como