Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
wiki:services:openvpn:vpnprod [2017/11/21 18:29] varens ajout création dossier keys |
wiki:services:openvpn:vpnprod [2018/10/15 20:21] shatoon [Comment je crée mes clés?] Retrait de la mention mail chiffré pour l'envoi du .csr pour signature |
||
---|---|---|---|
Ligne 39: | Ligne 39: | ||
source ./vars | source ./vars | ||
| | ||
- | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ | + | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ (qu'il faut créer) |
Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | ||
./build-req ton_pseudo_ldap_en_minuscules | ./build-req ton_pseudo_ldap_en_minuscules | ||
Ligne 47: | Ligne 47: | ||
(Laissez //challenge password// vide, il est mis en clair dans le fichier) | (Laissez //challenge password// vide, il est mis en clair dans le fichier) | ||
- | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// que vous devez créér | + | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// que vous devez créer |
Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | ||
- | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// | + | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// |
Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers | Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers | ||
Ligne 367: | Ligne 367: | ||
IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | ||
+ | |||
+ | ===== Comment regénérer la CRL ===== | ||
+ | La CRL ou certificate revocation list, permet de révoquer des certificats. Elle est signée par le CA et doit être renouvelée régulièrement. | ||
+ | |||
+ | Pour la réactualiser il faut faire: | ||
+ | > source vars | ||
+ | > export KEY_CN="" | ||
+ | > export KEY_OU="" | ||
+ | > export KEY_NAME="" | ||
+ | > openssl ca -gencrl -out " | ||
===== Comment accéder au VPN depuis Windows ?===== | ===== Comment accéder au VPN depuis Windows ?===== |