Как сгенерировать уникальную пару ключей для уникального клиентского устройства с помощью easyrsa3 для VPN
Имейте это требование, при котором сгенерированная для пользователя сертификация клиента не должна экспортироваться или использоваться с другого устройства и обеспечивать успешное VPN-соединение.
Я следовал этим шагам, чтобы создать сертификат клиента с помощью easyrsa. Однако при экспорте клиентского сертификата и ключа я все еще могу установить успешное VPN-соединение.
Каковы способы заблокировать или ограничить сертификат конкретным устройством.
Прочтите о фильтрации Mac-адресов, не уверен, работает ли это на Tunnelblick. (https://openvpn.net/vpn-server-resources/access-server-post-auth-script-host-checking/)
Steps followed to generate a client key pair:
./easyrsa gen-req test_client_vpn nopass
./easyrsa sign-req client test_client_vpn
1 ответ
Не существует другого способа привязать закрытый ключ к одному устройству, кроме как сгенерировать его на этом устройстве таким образом, чтобы его невозможно было экспортировать. Это важная часть того, что делают аппаратные чипы безопасности, такие как модули доверенной платформы, смарт-карты, SIM-карты и YubiKeys (и другие устройства U2F / FIDO).
Microsoft Windows предоставляет способы создания «ключа устройства»; его нельзя экспортировать из Windows' встроенный в «Хранилище сертификатов»; («магазин», как место хранения, а не розничный магазин), но он не поддерживается аппаратным обеспечением, поэтому существуют программные инструменты, которые все же могут позволить кому-то с нужным уровнем доступа и знаниями извлекать «неэкспортируемый»; закрытые ключи из хранилища сертификатов.
Преимущество аппаратных модулей безопасности заключается в том, что им физически не хватает схем для экспорта генерируемых ими закрытых ключей.