Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:services:openvpn:vpnprod [2017/11/21 18:24] varens Ajout modification vars |
wiki:services:openvpn:vpnprod [2019/10/03 20:49] frazew auth-nocache c'est cancer |
||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
==== Comment je crée mes clés? ==== | ==== Comment je crée mes clés? ==== | ||
Pour avoir ses accès sur le VPN il faut tout d' | Pour avoir ses accès sur le VPN il faut tout d' | ||
- | Premièrement demandez à un membre de MiNET qui a déjà accès au VPN le fichier | + | Pour cela, vous aurez notamment besoin du fichier |
La première étape sera de télécharger un outil appelé __" | La première étape sera de télécharger un outil appelé __" | ||
Ligne 39: | Ligne 39: | ||
source ./vars | source ./vars | ||
| | ||
- | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ | + | Mettez le **ca.crt** que on vous a filé dans le dossier keys/ (qu'il faut créer) |
Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). | ||
./build-req ton_pseudo_ldap_en_minuscules | ./build-req ton_pseudo_ldap_en_minuscules | ||
Ligne 47: | Ligne 47: | ||
(Laissez //challenge password// vide, il est mis en clair dans le fichier) | (Laissez //challenge password// vide, il est mis en clair dans le fichier) | ||
- | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// | + | Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier // |
Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l' | ||
- | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// | + | Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)// |
Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers | Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers | ||
Ligne 263: | Ligne 263: | ||
# Authenticate data channel packets with SHA515 algorithm | # Authenticate data channel packets with SHA515 algorithm | ||
auth SHA512 | auth SHA512 | ||
- | |||
- | # Don't cache username/ | ||
- | auth-nocache | ||
</ | </ | ||
Ligne 367: | Ligne 364: | ||
IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 | ||
+ | |||
+ | ===== Comment regénérer la CRL ===== | ||
+ | La CRL ou certificate revocation list, permet de révoquer des certificats. Elle est signée par le CA et doit être renouvelée régulièrement. | ||
+ | |||
+ | Pour la réactualiser il faut faire: | ||
+ | > source vars | ||
+ | > export KEY_CN="" | ||
+ | > export KEY_OU="" | ||
+ | > export KEY_NAME="" | ||
+ | > openssl ca -gencrl -out " | ||
===== Comment accéder au VPN depuis Windows ?===== | ===== Comment accéder au VPN depuis Windows ?===== |