Différences

Ci-dessous, les différences entre deux révisions de la page.

--- wiki:services:openvpn:vpnprod [2017/10/18 21:06]
zteeed
+++ wiki:services:openvpn:vpnprod [2019/10/03 20:49]
frazew auth-nocache c'est cancer
@@ Ligne 10: / Ligne 10: @@
 ==== Comment je crée mes clés? ====
 Pour avoir ses accès sur le VPN il faut tout d'abord créer ses clés //OpenVPN//.
-Premièrement demandez à un membre de MiNET qui a déjà accès au VPN le fichier **ca.crt**.
+Pour cela, vous aurez notamment besoin du fichier suivant : {{ :wiki:services:openvpn:ca.crt |}}.
 La première étape sera de télécharger un outil appelé __"easy-rsa"__ (logique vu que ça sera des clés RSA qui seront créées...).
@@ Ligne 24: / Ligne 24: @@
 Pour faire un lien symbolique:
   ln -s openssl-1.0.0.cnf openssl.cnf
+Puis éditez le fichier
+  vars
+Par exemple en modifiant ces variables :
+  export KEY_COUNTRY="FR"
+  export KEY_PROVINCE="Ile-de-France"
+  export KEY_CITY="Evry"
+  export KEY_ORG="MiNET"
+  export KEY_EMAIL="(user)@minet.net"
+  export KEY_OU="Equipe"
 Puis chargez les variables
   source ./vars
-Mettez le **ca.crt** que on vous a filé dans le dossier keys/
+Mettez le **ca.crt** que on vous a filé dans le dossier keys/ (qu'il faut créer)
 Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//).
   ./build-req ton_pseudo_ldap_en_minuscules
@@ Ligne 34: / Ligne 45: @@
 On vous demandera de renseigner des informations.
 Le "__Common Name__" doit être votre pseudo en minuscules.
+(Laissez //challenge password// vide, il est mis en clair dans le fichier)
-Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys///
+Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// que vous devez créer auparavant
 Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l'envoyer à qui que ce soit.
-Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)//. Par mail chiffré de préférence (mais non obligatoire). Celui-ci vous renverra votre certificat signé (le fichier **.crt** qui sera envoyé au VPN pour certifier que vous avez bien le droit d'y accéder).
+Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)//. Celui-ci vous renverra votre certificat signé (le fichier **.crt** qui sera envoyé au VPN pour certifier que vous avez bien le droit d'y accéder).
 Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers  importants: __deux__ .crt ( ca.crt et pseudo.crt) et un .key (vous pouvez supprimer le .csr, il ne vous sert plus à rien à ce moment là)
@@ Ligne 251: / Ligne 263: @@
 #  Authenticate data channel packets with SHA515 algorithm
 auth SHA512
-# Don't cache username/password
-auth-nocache
 </code>
@@ Ligne 347: / Ligne 356: @@
  </code>
-Gateway : vpn1(2).minet.net
+<del>Gateway : vpn1(2).minet.net
+</del>
 Type : mot de passe + certificat TLS
@@ Ligne 355: / Ligne 364: @@
 IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6
+===== Comment regénérer la CRL =====
+La CRL ou certificate revocation list, permet de révoquer des certificats. Elle est signée par le CA et doit être renouvelée régulièrement.
+Pour la réactualiser il faut faire:
+> source vars
+> export KEY_CN=""
+> export KEY_OU=""
+> export KEY_NAME=""
+> openssl ca -gencrl -out "$CRL" -config "$KEY_CONFIG"
 ===== Comment accéder au VPN depuis Windows ?=====

WikiMiNET

Outils pour utilisateurs

Outils du site

Différences

Outils de la page