Différences

Ci-dessous, les différences entre deux révisions de la page.

--- documentation:technique:openvpn:1-pki-client [2022/12/04 21:27] – [Comme service avec systemd] sragons
+++ documentation:technique:openvpn:1-pki-client [2022/12/04 22:03] – [Sous GNU/Linux] sragons
@@ Ligne 1: / Ligne 1: @@
-====== Création de la clé PKI coté client ======
+====== 1. Création de votre clé PKI ======
-Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur.
 <WRAP info>
 Avant de vous lancer, il faut définir ces variables et les remplacer dans cette page :
-  * ''NOM_CLIENT'' : le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e //camille// : ''camille'', ''camille-maison'', ''camille-autre''.
+  * ''NOM_CLIENT'' : le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e //camille// : ''camille'', ''camille-maison'', ''camille-autre''. Éviter cependant les caractères spéciaux.
   * ''IP4_CLIENT'' : l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), où ''x'' est incrémenté à chaque nouvelle souscription VPN.
 </WRAP>
@@ Ligne 38: / Ligne 36: @@
 ./easyrsa gen-req NOM_CLIENT nopass
 </code>
-  - Puis validez la suite des informations demandées.
+  - Puis validez la suite des informations demandées. Attention cependant d'indiquer le ''NOM_CLIENT'' en tant que ''Common Name (CN)''
 À la fin, on se retrouve avec un dossier ''pki/'', qui contient au moins :
   * la clé privée du client : ''pki/private/NOM_CLIENT.key''
   * la requête de signature de certificat du client : ''pki/reqs/NOM_CLIENT.req''
-<WRAP info>
-Lors de l’exécution de la commande **./easyrsa gen-req** vous devez indiquer un **Common Name (CN)**.
-Attention de saisir un CN indentique à NOM_CLIENT. En particulier, éviter les caractères spéciaux.
-</WRAP>
-===== Signer le certificat du client et le créer sur le serveur =====
-Cette étape est à réaliser sur le conteneur //openvpn//, où se trouve notre CA intermédiaire pour le VPN.
-  - Copier la requête de signature de certificat du client :<code bash>
-scp pki/reqs/NOM_CLIENT.req openvpn:/tmp/
-</code>
-  - Se connecter sur le conteneur et créer le client dans OpenVPN :<code bash>
-ssh openvpn
-manage-vpn create NOM_CLIENT -r /tmp/NOM_CLIENT.req -4 IP4_CLIENT
-</code>
-  - Récupérer le profil OpenVPN généré pour le client sur votre machine :<code bash>
-scp openvpn:/tmp/NOM_CLIENT.ovpn .
-</code>
-Vous aurez besoin du mot de passe de notre Certificat d'Autorité, il est situé dans le password store mycelium-pass[[documentation:technique:git:usage-des-depots-mycelium|[1]]][[:documentation:gestion:gestion-des-secrets|[2]]], sous le libellé ''mycelium/openvpn/ca''.
-<WRAP info>
-Vous pouvez également communiquer à l'adhérent⋅e sa clé signée, qui se trouve dans ''/etc/openvpn/easy-rsa/pki/issued/NOM_CLIENT.crt'' sur le conteneur //openvpn//. Ce fichier serait alors à placer dans son dossier ''pki/signed'', créé préalablement.
-</WRAP>
-TODO Discuter et définir d'une façon d'assigner les adresses IPs
-TODO Définir également l'adresse IPv6
-===== Configurer OpenVPN sur le client =====
-Le profil OpenVPN récupéré précédemment est à transmettre à l'adhérent⋅e. Pour que ce fichier soit complet, il reste à ajouter sa clé privée à la fin, dans une balise ''<key></key>''. Sous bash, cela peut se faire avec la commande suivante dans le dossier où se trouve l'environnement //easy-rsa// :<code bash>
-{ echo '<key>'; cat pki/private/NOM_CLIENT.key; echo '</key>'; } >> NOM_CLIENT.ovpn
-</code>
-==== Sous Gnome avec NetworkManager ====
-**Pré-requis sous Debian :**
-  * [[https://packages.debian.org/stable/network-manager-openvpn-gnome|network-manager-openvpn-gnome]]
-On peut ensuite ajouter une nouvelle connexion de type **OpenVPN** et importer le profil généré précédemment.