4 206
modifications
(→plop) |
|||
Ligne 107 : | Ligne 107 : | ||
Définissez bien-sur l'ip de votre serveur à la ligne <code>local</code>. Vous noterez aussi que pour l'instant, la redirection du trafic (les lignes <code>push</code>) est désactivé. | Définissez bien-sur l'ip de votre serveur à la ligne <code>local</code>. Vous noterez aussi que pour l'instant, la redirection du trafic (les lignes <code>push</code>) est désactivé. | ||
== | ==N'autoriser que les certificats émis par vpn_ca== | ||
Pour l'instant, nous avons une configuration fonctionnelle, mais pas parfaite. En effet, nous avons créé une autorité de certification dédié à l'émission de certificats vpn, mais n'importe quel certificat signé par l'un des parents de cette autorité sera autorisé à se connecter. Par exemple, si vous signez un certificat client au travers de l'autorité root_ca, ce certificat sera reconnu comme valide par openvpn. | Pour l'instant, nous avons une configuration fonctionnelle, mais pas parfaite. En effet, nous avons créé une autorité de certification dédié à l'émission de certificats vpn, mais n'importe quel certificat signé par l'un des parents de cette autorité sera autorisé à se connecter. Par exemple, si vous signez un certificat client au travers de l'autorité root_ca, ce certificat sera reconnu comme valide par openvpn. | ||
Ligne 118 : | Ligne 118 : | ||
tls-verify /etc/openvpn/allow.sh | tls-verify /etc/openvpn/allow.sh | ||
</pre> | </pre> | ||
Pour rappel, j'ai créé 3 autorités de certifications : root_ca, onyx_ca et vpn_ca. | |||
Récupérez les noms complets de ces certificats dans les fichiers <code>.pem</code> correspondant (ligne <code>subject:</code>). | |||
Il va falloir modifier un peu ces noms afin qu'ils soient compréhensibles par openvpn : | |||
* ajoutez un <code>/</code> au début | |||
* remplacez tous les "<code>, </code>" (virgule suivi d'un espace) par un <code>/</code> | |||
* remplacez tous les espaces à l'intérieur d'un champ par un _ | |||
Par exemple : | |||
<pre>C=01, ST=Epsilon Eridani System, L=Reach, O=UNSC, OU=Office of Naval Intelligence, CN=UNSC VPN CA/emailAddress=ca@csnu.org</pre> | |||
devient | |||
<pre>/C=01/ST=Epsilon_Eridani_System/L=Reach/O=UNSC/OU=Office_of_Naval_Intelligence/CN=UNSC_VPN_CA/emailAddress=ca@csnu.org</pre> | |||
Puis créez le fichier <code>/etc/openvpn/alow.sh</code> contenant : | Puis créez le fichier <code>/etc/openvpn/alow.sh</code> contenant : |