Mycélium FAI

Outils pour utilisateurs

Outils du site

Vous êtes ici : Bienvenue ! » documentation » Technique » openvpn » 1-pki-client
documentation:technique:openvpn:1-pki-client

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
documentation:technique:openvpn:1-pki-client [2022/12/04 21:23] sragonsdocumentation:technique:openvpn:1-pki-client [2022/12/04 22:03] – [Sous GNU/Linux] sragons
Ligne 1: Ligne 1:
-Création de la clé PKI coté client+====== 1. Création de votre clé PKI ====== 
 + 
 +<WRAP info> 
 +Avant de vous lancer, il faut définir ces variables et les remplacer dans cette page : 
 +  * ''NOM_CLIENT'' : le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e //camille// : ''camille'', ''camille-maison'', ''camille-autre''. Éviter cependant les caractères spéciaux. 
 +  * ''IP4_CLIENT'' : l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), où ''x'' est incrémenté à chaque nouvelle souscription VPN. 
 +</WRAP> 
 + 
 +===== Générer un certificat et une clé privée ===== 
 + 
 +Cette étape est à réaliser sur le poste du client. 
 + 
 +==== Sous GNU/Linux ==== 
 +=== Pré-requis === 
 + 
 +Assurez-vous d'avoir les paquets suivants d'installés : 
 + 
 +  * ''openvpn'' 
 +  * ''easy-rsa'' 
 + 
 +Si vous n'êtes pas sous Debian, pour faciliter la mise en place de l'environnement //easy-rsa//, il vous faudra télécharger en plus le script {{ :documentation:technique:openvpn:make-cadir |make-cadir}} (modifié depuis le script du paquet [[https://salsa.debian.org/debian/easy-rsa/-/raw/master/debian/make-cadir|Debian]]). 
 + 
 +=== Création du certificat et de la clé === 
 + 
 +  - Lancer un terminal. Avec votre compte utilisateur, placez-vous dans un répertoire de votre choix (par exemple dans ''~/Documents/Mycélium/VPN''
 +  - Créer le dossier qui contiendra les certificats avec //easy-rsa//, s'y rendre et initialiser l'environnement : <code bash> 
 +make-cadir ./client-ca 
 +cd ./client-ca 
 +./easyrsa init-pki 
 +</code> 
 +  - Créer le certificat et la clé du client : 
 +    * soit avec une phrase de passe, qui vous sera demandée et qui sera à saisir à chaque connexion au serveur VPN :<code bash> 
 +./easyrsa gen-req NOM_CLIENT 
 +</code> 
 +    * soit sans chiffrer la clé privée avec un mot de passe :<code bash> 
 +./easyrsa gen-req NOM_CLIENT nopass 
 +</code> 
 +  - Puis validez la suite des informations demandées. Attention cependant d'indiquer le ''NOM_CLIENT'' en tant que ''Common Name (CN)''  
 + 
 +À la fin, on se retrouve avec un dossier ''pki/'', qui contient au moins : 
 +  * la clé privée du client : ''pki/private/NOM_CLIENT.key'' 
 +  * la requête de signature de certificat du client : ''pki/reqs/NOM_CLIENT.req'' 
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki