Nov
30

OpenVPN del 3

Author admin    Category Program     Tags , ,

Tidigare delar av denna guide
Del 1
Del 2
Del 4

OpenVPN använder sig av certificat för att encryptera trafiken.

Det vi nu ska göra är att fixa våra certificate authority (CA) genom två steg.

1. Genom att ange variabler
2. Genera den slutgiltiga CA

OpenVPN fungerar på ett sådant sätt att clienten måste authentisiera sig mot serverns certificate och servern måste göra detsamma för att ömsesidigt förtroende fungerar dom två i mellan. För att få detta att fungera kommer vi andända oss av Easy RSA.

Kopiera över Easy-RSA scripten

cp -r /usr/share/easy-rsa/ /etc/openvpn

Skapa sedan en mapp avsett för säkerhetsnyckeln.

mkdir /etc/openvpn/easy-rsa/keys

Nu ska vi ange parameters för certificatet

Öppna variables filen med hjälp av nano eller någon annan text editor.

nano /etc/openvpn/easy-rsa/vars

Variablerna nedan markerade med –> <--- ska ändras för att stämma överens med dina inställningar.

/etc/openvpn/easy-rsa/vars
export KEY_COUNTRY=”–>US<--" export KEY_PROVINCE="-->TX<--" export KEY_CITY="-->Dallas<--" export KEY_ORG="-->My Company Name<--" export KEY_EMAIL="-->sammy@example.com<--" export KEY_OU="-->MYOrganizationalUnit<--"

I samma fil ska du ändra på raden som syns nedanför, för enkelhets skull ska vi använda server som namnet på nyckeln. Du kan använda ett annat namn men då behöver du också uppdatera OpenVPN configurationen och ändra på filerna som kopplas mot server.key och server.crt.

I samma fil ska vi ange dom korekta uppgifterna för certificatet, leta efter raden precis efter föregående.

/etc/openvpn/easy-rsa/vars
# X509 Subject Field
export KEY_NAME=”EasyRSA”

Ändra KEY_NAME’s värde som annars via default är EasyRSA till det värde du vill. I denna beskrivning kommer server att användas.

/etc/openvpn/easy-rsa/vars
# X509 Subject Field
export KEY_NAME=”server”

Spara och stäng ner filen.

Sen ska vi generera Diffie-Helman paramentarerna genom att använda ett inbyggt verktyg dom heter dhparam som är ett OpenSSL verktyg, detta kan ta flera minuter

Användandet av -out visar servern vart den ska spara dom nya paramenterarerna.

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Certificatet är nu genererat och det är hög tid vi skapar en nyckel.

Först och främst måste vi skifta till easy-rsa mappen.

cd /etc/openvpn/easy-rsa

Nu ska vi börja med att köra igång CA. Först ska vi starta igång Public Key Infrastructure (PKI).

Var vaksam på punkten (.) och mellanslag före ./vars commandot. Det visar på vilken mapp som är det som för tillfället är aktuell.

. ./vars

Följade varning kommer att skrivas ut på skärmen, det är inget att vara orolig för då mappen som visar sig i varningen är tom

OBS: om du kör ./clean-all så kommer datorn att göra en rm -rf på alla rsa nycklar.

Nästa steg är att rensa bort alla andra nycklar som kan vara ivägen för oss.

./clean-all

Till slut ska vi bygga upp CA med hjälp av OpenSSl commandon. Systemet kommer att be dig bekräfta “Distinguished Name” variabler som du angett tidigare, bara trycke ENTER för att acepterat

./build-ca

Tryck ENTER för att godkänna varje fråga om dom tidigare värdena du angett.

Installationen och configureringen av The Certificate Authority är nu komplett.

Nu ska vi göra dom sista inställningarna och sedan starta upp OpenVPN servern.

Vi arbetar fortfarande med

/etc/openvpn/easy-rsa

Skapa sedan din nyckel med ditt server namn, det var det som vi angav som KEY_NAME i configen tidigarebuild your key with the server name. This was specified earlier as KEY_NAME in your configuration file. Det värdet som angavs i denna guide var server

./build-key-server server

Återigen så kommer datorn att fråga efter bekräftelse på Distinguished Name. Tryck bara på ENTER för att verifiera dom tidigare angivna värdena
Denna gång kommer det vara ytterligare två frågor sen tidigare.

Lägg till extra information som skickas med certificatet.

A challenge password []:
An optional company name []:

Båda ska lämnas tomma, så tryck bara på ENTER för att gå vidare.
Två frågor i slutet kräver ett positivt svar (y).

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Du kommer sedan få se följande på din skärm, vilket tyder på att du lyckats bra.

Output
Write out database with 1 new entries
Data Base Updated

Vi ska nu kopiera certificaten och nyckeln till /etc/openvpn eftersom OpenVPN kommer att söka i just den mappen.

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

Om du vill kan du kontrollera så att kopieringen fungerade.

ls /etc/openvpn

Du kommer då att se certificatet och nyckeln som kommer användas för servern.

Som det är nu så är OpenVPN redo för start så varför inte starta den och se vad som händer.

service openvpn start
service openvpn status

Status kommer att något som liknar följande som svar:

Output
* openvpn.service – OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
Active: active (exited) since Thu 2016-12-29 07:43:37 EDT; 9s ago
Process: 9723 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 9723 (code=exited, status=0/SUCCESS)
Most importantly, from the output above, you should find Active: active (exited) since… instead of Active: inactive (dead) since….

Din OpenVPN server är nu igång och fungerande, om status medelandet skulle säga att VPN tjänsten inte körs så kontrollera då /var/log/syslog för eventuella error

Options error: –key fails with ‘server.key’: No such file or directory

Medelandet visar på att nyckeln inte kopierats till /etc/openvpn Kopiera filen igen och prova starta servern och se vad som händer.

Tidigare delar av denna guide
Del 1
Del 2
Del 4

Be Sociable, Share!
Läs även  Tilläget GeoIP för Apache

Post comment

You must be logged in to post a comment.

Reggad på Commo.se Pinga Frisim
PRchecker.info
Twingly BlogRank
bloggping
Datorer & Mobilt Datorer bloggar
Creeper
Nätets bästa sajter! MediaCreeper it-bloggar.se
Online: Idag: Vecka: Denna Månad:
  • Partner links

  • Senaste inläggen

    Arkiv

    Kategorier

    Debian