====== 1. Création de votre certificat et votre clé PKI ======

<WRAP info>
Avant de vous lancer, il faut définir ces variables et les remplacer dans cette page :
  * ''NOM_CLIENT'' : le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e //camille// : ''camille'', ''camille-maison'', ''camille-autre''. Éviter cependant les caractères spéciaux.
  * ''IP4_CLIENT'' : l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), où ''x'' est incrémenté à chaque nouvelle souscription VPN.
</WRAP>

Cette étape est à réaliser sur le poste du client.

==== Sous GNU/Linux ====
=== Pré-requis ===

Assurez-vous d'avoir les paquets suivants d'installés :

  * ''openvpn''
  * ''easy-rsa''

Si vous n'êtes pas sous Debian, pour faciliter la mise en place de l'environnement //easy-rsa//, il vous faudra télécharger en plus le script {{ :documentation:technique:openvpn:make-cadir |make-cadir}} (modifié depuis le script du paquet [[https://salsa.debian.org/debian/easy-rsa/-/raw/master/debian/make-cadir|Debian]]).

=== Commande de création du certificat et de la clé ===

  - Lancer un terminal. Avec votre compte utilisateur, placez-vous dans un répertoire de votre choix (par exemple dans ''~/Documents/Mycélium/VPN'')
  - Créer le dossier qui contiendra les certificats avec //easy-rsa//, s'y rendre et initialiser l'environnement : <code bash>
make-cadir ./client-ca
cd ./client-ca
./easyrsa init-pki
</code>
  - Créer le certificat et la clé du client :
    * soit avec une phrase de passe, qui vous sera demandée et qui sera à saisir à chaque connexion au serveur VPN :<code bash>
./easyrsa gen-req NOM_CLIENT
</code>
    * soit sans chiffrer la clé privée avec un mot de passe :<code bash>
./easyrsa gen-req NOM_CLIENT nopass
</code>
  - Validez la suite des informations demandées. Attention cependant d'indiquer le ''NOM_CLIENT'' en tant que ''Common Name (CN)'' 

=== Clé privée et requête de signature ===

La commande génère:

  * Votre clé privée: ''pki/private/NOM_CLIENT.key''
  * La requête de signature du certificat: ''pki/reqs/NOM_CLIENT.req''

Il faut ensuite envoyer la requête de signature, ''NOM_CLIENT.req'', vers le serveur pour générer votre profil VPN.