<html>
<head>
<meta content="text/html; charset=KOI8-R" http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">Еще одно добавление.<br>
Всем рекомендуется прочитать
<a class="moz-txt-link-freetext" href="http://serverfault.com/questions/266232/what-is-a-challenge-password">http://serverfault.com/questions/266232/what-is-a-challenge-password</a><br>
So I say again: the "challenge password" requested as part of the
CSR generation is not the same thing as a passphrase used to
encrypt the secret key. The "challenge password" is basically a
shared-secret nonce between you and the SSL issuer, embedded in
the CSR, which the issuer may use to authenticate you should that
ever be needed.<br>
Возможно, я не очень корректно выразился, когда говорил: <br>
"Настоятельно рекомендуется установить пароль на ключ."<br>
Установить пароль надо именно _на ключ_!! Для этого НЕ НАДО
вводить пароль по приглашению "Challenge password". Надо после
создания ключа (по умолчанию он будет создан без пароля) выполнить
команду openssl rsa -in name.key -des3 -out name.new.key . После
двукратного ввода пароля будет создан новый ключевой файл,
зашифрованный паролем. После этого старый (нешифрованный) ключ
заменяется новым.<br>
<br>
Если кто-то из вас установил challenge password - рекомендую
удалить соответствующее письмо из вашего inbox-а (я, собственно,
удаляю письма и csr-файлы после генерации сертификатов, так что
тут никому ничего не грозит).<br>
On 01.03.2013 15:19, George Noseevich wrote:<br>
</div>
<blockquote cite="mid:51308ED5.4060601@lvk.cs.msu.su" type="cite">
<meta http-equiv="content-type" content="text/html;
charset=KOI8-R">
Всем привет!<br>
Как всем известно, в скором времени грядут различные ctf-like
activities, некоторые из которых могут потребовать создания
командной инфраструктуры (e.g. размещать образы виртуалок и тп).
Оттуда же будут подниматься vpn-туннель на сервера организаторов
(например, во время ructf quals такое часто бывает нужно).<br>
<br>
Так вот. Для того, чтобы получить доступ к нашей
ctf-инфраструктуре, всем причастным нужно будет получить
vpn-сертификаты (по аналогии с vpn-сертификатами для ЛВК).<br>
Процедура состоит из следующих шагов (описание для юниксоподобных
машин, обладателям win-машин придется спасаться как-нибудь
по-другому):<br>
<br>
1.Установить openssl и каким-либо образом достать набор скриптов
easy-rsa 2.0 (входит в пакет openvpn, хотя последний ни для чего
иного не требуется)<br>
2.Создать каталог для хранения ключей, установить ему права 700: <br>
mkdir ~/keys <br>
3. В случае использования easy-rsa из установленного openvpn,
скопировать easy-rsa в отдельный каталог: <br>
mkdir ~/easy-rsa ; cp /usr/share/openvpn/easy-rsa/2.0/*
~/easy-rsa В других дистрибутивах путь может быть другим Этот
шаг необходим для того, чтобы, во-первых, кастомизировать этот
пакет своими Organization name и т.д. и чтобы все это не было
перезаписано при обновлении openvpn .<br>
<meta http-equiv="content-type" content="text/html;
charset=KOI8-R">
4. Модифицировать ~/easy-rsa/vars согласно файлу из вложения<br
class="Apple-interchange-newline">
5. Загрузить конфиг: <br>
cd ~/easy-rsa ; source vars <br>
6. Подготовить easy-rsa к первому запуску (ВНИМАНИЕ: этот шаг
удалит содержимое папки с ключами) <br>
./clean-all <br>
7. Скопировать ca.crt из вложения в папку keys<br>
8. Создаем ключ и запрос: ./build-req your_chosen_name.<br>
В процессе создания можно еще задать свой email, все остальные
данные (OU, ON и тп) - остаются без изменений.<br>
your_chosen_name - ваш никнейм, имя, идентификатор - что-нибудь в
этом роде.<br>
Настоятельно рекомендуется установить пароль на ключ.<br>
После выполнения этого шага в папке keys появятся файлы
your_chosen_name.csr и your_chosen_name.key<br>
<br>
Один из этих файлов (который .key) - ваш приватный ключ, храните
его в секрете. Файл .csr должен быть послан мне. Дальше необходимо
подтвердить подлинность csr-файла, для чего необходимо лично
придти в ауд. 603 с любым документом, удостоверяющим личность
(студак тоже подойдет) и сверить отпечаток csr-файла (md5sum
wtf.csr). Заодно можете принести идентификатор и отпечаток своего
PGP-ключа, если он у вас есть. Мой ключ 0x59AAC124,
subkeys.pgp.net.<br>
<br>
После проверки вы получите по почте ваш личный сертификат (как и
csr, это не приватные данные, так как воспользоваться сертификатом
без вашего приватного ключа невозможно). Для подключения надо
использовать конфиг ctf.conf из вложения (sudo openvpn ctf.conf),
в котором надо заменить ngo на your_chosen_name. При запуске .key
и .crt - файлы должны находиться в одной папке с конфигом (включая
и ca.crt).<br>
После запуска openvpn, если все прошло нормально, у вас должен
появиться доступ к сети 10.13.37.0/24 (в частности, должен
пинговаться шлюз 10.13.37.0)<br>
<br>
При необходимости можно пользоваться конфигом ctf-defroute.conf,
который пропишет маршрут через тоннель в качестве маршрута по
умолчанию, что может быть полезно в некоторых ситуациях. В
частности, через тоннель есть доступ в интернет через сеть
факультета, так что им имеет смысл пользоваться в недоверенных
wifi-сетях. Use responsibly.<br>
<br>
<br>
По всем вопросам - пишите. <br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
course mailing list
<a class="moz-txt-link-abbreviated" href="mailto:course@secsem.ru">course@secsem.ru</a>
<a class="moz-txt-link-freetext" href="http://lists.secsem.ru/cgi-bin/mailman/listinfo/course">http://lists.secsem.ru/cgi-bin/mailman/listinfo/course</a>
</pre>
</blockquote>
<br>
</body>
</html>