[gl-como] certificati

Pietro Bertera pietro@bertera.it
Mer 5 Apr 2006 09:16:30 CEST


Il giorno mar, 04/04/2006 alle 22.53 +0200, francesco ha scritto:
> C'è qualcuno che mi può spiegare come diavolo funziona la storia dei 
> certificati nelle vpn (Od in generale) ?
> 
> stavo provando a casa openvpn (E funziona alla grande)
> per poter fare una cosa seria però serviva uno scambio di file firmati e 
> certificati (Qualcosa del genere)
> 
> L'ho fatto prendendo questa guida: 
> http://guide.debianizzati.org/index.php/Openvpn
> 
> (Peraltro fatta molto bene)
> 
> l'ho seguita ed ho tirato in piedi la VPN.
> Il problema è che non ci ho capito una mazza sul cosa stessi facendo nel 
> momento in cui creavo le chiavi e scambiavo i certificati.
> 
> Qualche anima pia può illuminarmi ?
> 
> ciao

In rapida e confusionaria sintesi:

In genere ci sono 2 metodi per "securizzare" una connessione (che sia
una VPN o una punto-punto): cifrare ed autenticare tramite delle chiavi
pre-condivise (Pre Shared Keys) oppure utilizzare la crittografia
asimmetrica (Coppia di chiavi pubblica e privata).

La PSK è la piu' semplice: i due peer condividono un segreto che viene
utilizzato per autenticarsi, per la cifratura poi magari si utilizzano
delle chiavi costruite con il protocollo Diffie Hellman.

La crittografia asimmetrica è la solita solfa di chiave pubblica e
privata.

I certificati sono dei contenitori di chiavi pubbliche rilasciati da un
ente trusted (Certification Authority).
In pratica un certificato è una chiave pubblica + altri parametri (data
di generazione, data di scadenza, proprietario, algoritmi utilizzati,
ecc..).
Inoltre un certificato è firmato dalla CA.

Quindi quello che hai dovuto fare sarà stato:
- creare la CA (consiste nel creare chiave un certificato self-signed e
la sua relafiva chiave)
- creare un nuovo certificato (viene creata una coppia di chiavi e
vengono assegnati i parametri)
- firmare il nuovo certificato con la chiave privata della CA

Poi in OpenVPN avrai dovuto usare i parametri ca, cert e key
ca è il certificato cella CA
cert è il tuo certificato
key è la chiave privata del tuo certificato

In pratica cert e key sono la tua coppia di chiavi pubblica e privata e
ca è la chiave pubblica della CA.
La chiava della CA ti serve per verificare se il certificato dell'altro
peer è stato rilasciato veramente dalla CA.

Ciao



Maggiori informazioni sulla lista gl-como