documentation:technique:openvpn:2pki-serveur
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
documentation:technique:openvpn:2pki-serveur [2022/12/04 21:32] – créée sragons | documentation:technique:openvpn:2pki-serveur [2022/12/04 21:46] – sragons | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Enregistrement de la votre clé PKI coté serveur ====== | + | ====== |
Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur. | Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur. | ||
Ligne 7: | Ligne 7: | ||
* '' | * '' | ||
* '' | * '' | ||
- | </ | ||
- | |||
- | ===== Générer un certificat et une clé privée ===== | ||
- | |||
- | Cette étape est à réaliser sur le poste du client. | ||
- | |||
- | ==== Sous GNU/Linux ==== | ||
- | === Pré-requis === | ||
- | |||
- | Assurez-vous d' | ||
- | |||
- | * '' | ||
- | * '' | ||
- | |||
- | Si vous n' | ||
- | |||
- | === Création du certificat et de la clé === | ||
- | |||
- | - Lancer un terminal. Avec votre compte utilisateur, | ||
- | - Créer le dossier qui contiendra les certificats avec // | ||
- | make-cadir ./client-ca | ||
- | cd ./client-ca | ||
- | ./easyrsa init-pki | ||
- | </ | ||
- | - Créer le certificat et la clé du client : | ||
- | * soit avec une phrase de passe, qui vous sera demandée et qui sera à saisir à chaque connexion au serveur VPN :<code bash> | ||
- | ./easyrsa gen-req NOM_CLIENT | ||
- | </ | ||
- | * soit sans chiffrer la clé privée avec un mot de passe :<code bash> | ||
- | ./easyrsa gen-req NOM_CLIENT nopass | ||
- | </ | ||
- | - Puis validez la suite des informations demandées. | ||
- | |||
- | À la fin, on se retrouve avec un dossier '' | ||
- | * la clé privée du client : '' | ||
- | * la requête de signature de certificat du client : '' | ||
- | |||
- | <WRAP info> | ||
- | Lors de l’exécution de la commande **./easyrsa gen-req** vous devez indiquer un **Common Name (CN)**. | ||
- | Attention de saisir un CN indentique à NOM_CLIENT. En particulier, | ||
</ | </ | ||
Ligne 74: | Ligne 34: | ||
TODO Définir également l' | TODO Définir également l' | ||
- | ===== Configurer OpenVPN sur le client ===== | ||
- | |||
- | Le profil OpenVPN récupéré précédemment est à transmettre à l' | ||
- | { echo '< | ||
- | </ | ||
- | |||
- | ==== Sous Gnome avec NetworkManager ==== | ||
- | |||
- | **Pré-requis sous Debian :** | ||
- | * [[https:// | ||
- | |||
- | On peut ensuite ajouter une nouvelle connexion de type **OpenVPN** et importer le profil généré précédemment. | ||
- | |||
- | ==== Comme service avec systemd ==== | ||
- | |||
- | **Pré-requis sous Debian :** | ||
- | * [[https:// | ||
- | |||
- | On peut ensuite copier le profil généré précédemment dans le dossier ''/ | ||
- | |||
- | <WRAP important> | ||
- | Le client OpenVPN peut recevoir les informations liées au serveur DNS, mais n'est pas capable nativement de les appliquer. Il faudra pour cela suivre les instructions que vous trouverez dans le fichier de configuration. | ||
- | </ | ||
- | |||
- | === Démarrer le tunnel manuellement === | ||
- | |||
- | Pour démarrer le client VPN manuellement, | ||
- | sudo systemctl start openvpn-client@NOM_CLIENT.service | ||
- | </ | ||
- | |||
- | Si vous avez une phrase de passe, il vous faudra aussi exécuter :<code bash> | ||
- | sudo systemd-tty-ask-password-agent | ||
- | </ | ||
- | |||
- | === Établir le tunnel au démarrage de la machine === | ||
- | |||
- | Il suffit d' | ||
- | sudo systemctl enable openvpn-client@NOM_CLIENT.service | ||
- | </ | ||
- | |||
- | Si vous avez une phrase de passe, il vous faudra aussi suivre les étapes suivantes pour la stocker et ne pas avoir à la saisir : | ||
- | - Dans le fichier de configuration ''/ | ||
- | askpass NOM_CLIENT.auth | ||
- | </ | ||
- | - Avec votre éditeur favori, créez le fichier ''/ | ||
- | - Réglez les permissions pour que les fichiers ne soit lisible que par root :<code bash> | ||
- | sudo chmod 600 / | ||
- | </ |