Creare una Public Key Infrastructure Utilizzo degli script di facile rsa

Il primo passo quando si imposta OpenVPN è quello di creare un Public Key Infrastructure (PKI). Il PKI è costituito da:

  • Un maestro pubblico Autorità di certificazione (CA) certificato e una chiave privata.
  • Un certificato pubblico separato e coppia di chiavi private (appresso un certificato) per ogni server e ogni cliente.

Per facilitare il processo di creazione del certificato, OpenVPN viene fornito con una collezione di RSA script Manangement chiave (basata sullo strumento da riga di comando OpenSSL) noto come easy-rsa.

Nota: Solo i file .key devono essere tenute segrete, .file CRT e .csr possono essere inviati su canali non sicuri, quali e-mail in chiaro.

In questo articolo i certificati necessari sono creati da radice nella home directory di root. Questo assicura che i file generati hanno il diritto di proprietà e le autorizzazioni, e sono al sicuro da altri utenti.

Nota: I certificati possono essere creati su qualsiasi macchina. Per la massima sicurezza, generare i certificati su una macchina fisicamente sicuro scollegati da qualsiasi rete, e fare in modo che la chiave privata ca.key generata viene eseguito il backup e non accessibile a chiunque.
avvertimento: Assicurarsi che i file generati vengono sottoposti a backup, in particolare i file ca.key e ca.crt, dal momento che in caso di smarrimento non sarà in grado di creare qualsiasi nuova, né revocare i certificati compromessi, richiedendo così la generazione di una nuova Autorità di certificazione (CA) certificato, invalidando l'intera infrastruttura PKI.

Installare gli script easy-rsa

Installare gli script effettuando le seguenti:

Creazione di certificati

Passare alla directory in cui è installato gli script.

Per garantire l'uso costante di valori quando si genera il PKI, I valori di default impostato per essere utilizzato dagli script di generazione PKI. Modifica / root / easy-rsa / Vars e come minimo impostare la KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, e parametri KEY_EMAIL (non lasciare uno di questi parametri vuoti). Modificare il parametro di key_size 2048 per la SSL / TLS per utilizzare 2048bit chiavi RSA per l'autenticazione.

Esportare le variabili d'ambiente.

Eliminare i certificati precedentemente creati.

Nota: Immissione di un . (punto) quando viene richiesto per un valore, Blanks fuori il parametro.

Lo script di build-ca genera il Autorità di certificazione (CA) certificato.

Lo script di build-server-chiave # ./build-key-server <server name> genera un certificato server. Assicurarsi che il nome del server (Nome comune quando si esegue lo script) è unico.

Nota: Non immettere un nome password di sfida o società quando lo script richiede una.

Lo script di build-dh genera il parametri Diffie-Hellman .file PEM necessari dal server.

Nota: Sarebbe meglio per generare una nuova per ogni server, ma è possibile utilizzare lo stesso se si vuole.

Lo script di build-chiave # ./build-key <client name> genera un certificato client. Assicurarsi che il nome del client (Nome comune quando si esegue lo script) è unico.

Nota: Non immettere un nome password di sfida o società quando lo script richiede una.

Genera un segreto Hash-based Message Authentication Code (HMAC) eseguendo: # openvpn --genkey --secret /root/easy-rsa/keys/ta.key

Questo verrà utilizzato per aggiungere una firma aggiuntiva HMAC a tutti / TLS pacchetti di handshake SSL. Inoltre qualsiasi pacchetto UDP non avere la firma HMAC corretta sarà immediatamente scartato, protezione contro:

  • Portscanning.
  • Attacchi DOS sulla porta OpenVPN UDP.
  • SSL / TLS iniziazioni stretta di mano da macchine non autorizzate.
  • Eventuali vulnerabilità di buffer overflow nella realizzazione SSL / TLS.

Tutte le chiavi ei certificati creati sono stati memorizzati in / root / facile RSA / chiavi. Se si commette un errore, si può ricominciare da eseguendo nuovamente il tutto pulito-script.

avvertimento: Questo cancellerà tutti i certificati generati in precedenza memorizzati in / root / facile RSA / chiavi, includendo il Autorità di certificazione (CA) certificato.

La conversione dei certificati in formato crittografato p12

alcuni software (come Android) leggeranno solo i certificati VPN che sono memorizzati in un file di password p12-encrypted. Questi possono essere generati con il seguente comando:

Controllo Utilizzando OpenSSL

Se avete bisogno di controllare le informazioni all'interno di un certificato, CSR o chiave privata, utilizzare questi comandi. Puoi anche controllare la CSRs e controllare i certificati utilizzando i nostri strumenti online.

  • Controllare un Certificate Signing Request (CSR)
  • Controllare una chiave privata
  • Controllare un certificato
  • Controllare un # 12 file PKCS (.pfx o p12)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *