Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
wiki:services:openvpn:vpnprod [2017/09/18 15:24] insolentbacon |
wiki:services:openvpn:vpnprod [2018/10/15 20:21] shatoon [Comment je crée mes clés?] Retrait de la mention mail chiffré pour l'envoi du .csr pour signature |
||
---|---|---|---|
Ligne 24: | Ligne 24: | ||
Pour faire un lien symbolique: | Pour faire un lien symbolique: | ||
ln -s openssl-1.0.0.cnf openssl.cnf | ln -s openssl-1.0.0.cnf openssl.cnf | ||
+ | | ||
+ | Puis éditez le fichier | ||
+ | vars | ||
+ | Par exemple en modifiant ces variables : | ||
+ | export KEY_COUNTRY=" | ||
+ | export KEY_PROVINCE=" | ||
+ | export KEY_CITY=" | ||
+ | export KEY_ORG=" | ||
+ | export KEY_EMAIL=" | ||
+ | export KEY_OU=" | ||
+ | |||
Puis chargez les variables | Puis chargez les variables | ||
source ./vars | source ./vars | ||
| | ||
- | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ | + | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ (qu'il faut créer) |
Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | ||
./build-req ton_pseudo_ldap_en_minuscules | ./build-req ton_pseudo_ldap_en_minuscules | ||
Ligne 34: | Ligne 45: | ||
On vous demandera de renseigner des informations. | On vous demandera de renseigner des informations. | ||
Le " | Le " | ||
+ | (Laissez //challenge password// vide, il est mis en clair dans le fichier) | ||
- | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// | + | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier // |
Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | ||
- | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// | + | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// |
- | Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers | + | Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers |
Vous pourrez mettre ces trois fichiers dans le dossier de votre choix et vous débarrasser de easy-rsa. | Vous pourrez mettre ces trois fichiers dans le dossier de votre choix et vous débarrasser de easy-rsa. | ||
Ligne 165: | Ligne 177: | ||
# to load balance between the servers. | # to load balance between the servers. | ||
remote 157.159.40.19 443 | remote 157.159.40.19 443 | ||
- | ;remote | + | remote |
# Choose a random host from the remote | # Choose a random host from the remote | ||
Ligne 347: | Ligne 359: | ||
</ | </ | ||
- | Gateway : vpn1(2).minet.net | + | <del>Gateway : vpn1(2).minet.net |
+ | </ | ||
Type : mot de passe + certificat TLS | Type : mot de passe + certificat TLS | ||
Ligne 355: | Ligne 367: | ||
IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | ||
+ | |||
+ | ===== Comment regénérer la CRL ===== | ||
+ | La CRL ou certificate revocation list, permet de révoquer des certificats. Elle est signée par le CA et doit être renouvelée régulièrement. | ||
+ | |||
+ | Pour la réactualiser il faut faire: | ||
+ | > source vars | ||
+ | > export KEY_CN="" | ||
+ | > export KEY_OU="" | ||
+ | > export KEY_NAME="" | ||
+ | > openssl ca -gencrl -out " | ||
===== Comment accéder au VPN depuis Windows ?===== | ===== Comment accéder au VPN depuis Windows ?===== | ||
Ligne 361: | Ligne 383: | ||
Une fois installé, rendez vous dans le dossier C:\Program Files\OpenVPN\config\ et créez un nouveaux fichier MiNET.txt . Ouvrez le et tapez : | Une fois installé, rendez vous dans le dossier C:\Program Files\OpenVPN\config\ et créez un nouveaux fichier MiNET.txt . Ouvrez le et tapez : | ||
+ | <del> | ||
< | < | ||
client | client | ||
Ligne 391: | Ligne 413: | ||
;down / | ;down / | ||
</ | </ | ||
- | et remplacer /*votre pseudo*/ par votre pseudo. | + | et remplacer /*votre pseudo*/ par votre pseudo.</ |
Ensuite renommez le en MiNET.ovpn. | Ensuite renommez le en MiNET.ovpn. | ||
Lancez ensuite openvpn et dans la barre d’icône en bas à droite cliquez avec le bouton droit de la souris sur l’icône openvpn et sélectionnez MiNET puis connecter. Rentrez votre login et mot de passe et c'est bon :) . | Lancez ensuite openvpn et dans la barre d’icône en bas à droite cliquez avec le bouton droit de la souris sur l’icône openvpn et sélectionnez MiNET puis connecter. Rentrez votre login et mot de passe et c'est bon :) . |