Ceci est une ancienne révision du document !
2. Enregistrement de votre clé PKI coté serveur
Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur.
Avant de vous lancer, il faut définir ces variables et les remplacer dans cette page :
NOM_CLIENT
: le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e camille :camille
,camille-maison
,camille-autre
.IP4_CLIENT
: l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), oùx
est incrémenté à chaque nouvelle souscription VPN.
Signer le certificat du client et le créer sur le serveur
Cette étape est à réaliser sur le conteneur openvpn, où se trouve notre CA intermédiaire pour le VPN.
- Copier la requête de signature de certificat du client :
scp pki/reqs/NOM_CLIENT.req openvpn:/tmp/
- Se connecter sur le conteneur et créer le client dans OpenVPN :
ssh openvpn manage-vpn create NOM_CLIENT -r /tmp/NOM_CLIENT.req -4 IP4_CLIENT
- Récupérer le profil OpenVPN généré pour le client sur votre machine :
scp openvpn:/tmp/NOM_CLIENT.ovpn .
Vous aurez besoin du mot de passe de notre Certificat d'Autorité, il est situé dans le password store mycelium-pass[1][2], sous le libellé mycelium/openvpn/ca
.
Vous pouvez également communiquer à l'adhérent⋅e sa clé signée, qui se trouve dans /etc/openvpn/easy-rsa/pki/issued/NOM_CLIENT.crt
sur le conteneur openvpn. Ce fichier serait alors à placer dans son dossier pki/signed
, créé préalablement.
Discuter et définir d'une façon d'assigner les adresses IPs
Définir également l'adresse IPv6