documentation:technique:client-vpn:1-client
1. Création de votre certificat et votre clé PKI
Avant de vous lancer, il faut définir ces variables et les remplacer dans cette page :
NOM_CLIENT
: le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e camille :camille
,camille-maison
,camille-autre
. Éviter cependant les caractères spéciaux.IP4_CLIENT
: l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), oùx
est incrémenté à chaque nouvelle souscription VPN.
Cette étape est à réaliser sur le poste du client.
Sous GNU/Linux
Pré-requis
Assurez-vous d'avoir les paquets suivants d'installés :
openvpn
easy-rsa
Si vous n'êtes pas sous Debian, pour faciliter la mise en place de l'environnement easy-rsa, il vous faudra télécharger en plus le script make-cadir (modifié depuis le script du paquet Debian).
Commande de création du certificat et de la clé
- Lancer un terminal. Avec votre compte utilisateur, placez-vous dans un répertoire de votre choix (par exemple dans
~/Documents/Mycélium/VPN
) - Créer le dossier qui contiendra les certificats avec easy-rsa, s'y rendre et initialiser l'environnement :
make-cadir ./client-ca cd ./client-ca ./easyrsa init-pki
- Créer le certificat et la clé du client :
- soit avec une phrase de passe, qui vous sera demandée et qui sera à saisir à chaque connexion au serveur VPN :
./easyrsa gen-req NOM_CLIENT
- soit sans chiffrer la clé privée avec un mot de passe :
./easyrsa gen-req NOM_CLIENT nopass
- Validez la suite des informations demandées. Attention cependant d'indiquer le
NOM_CLIENT
en tant queCommon Name (CN)
Clé privée et requête de signature
La commande génère:
- Votre clé privée:
pki/private/NOM_CLIENT.key
- La requête de signature du certificat:
pki/reqs/NOM_CLIENT.req
Il faut ensuite envoyer la requête de signature, NOM_CLIENT.req
, vers le serveur pour générer votre profil VPN.
documentation/technique/client-vpn/1-client.txt · Dernière modification : 2022/12/05 21:42 de sragons