Openvpn: differenze tra le versioni

m
nessun oggetto della modifica
mNessun oggetto della modifica
mNessun oggetto della modifica
Riga 126: Riga 126:
Il CA risiedera' sul server, ma distinguiamo le entita' in questo modo:  
Il CA risiedera' sul server, ma distinguiamo le entita' in questo modo:  
CA � Server � Client0 � Client1...<br>
CA � Server � Client0 � Client1...<br>
Occupiamoci del CA; facciamogli generare una sua chiave (''ca.key''), una sua richiesta di certificato (''ca.csr''), facciamogliela autofirmare (''ca.crt'') e depositare successivamente su ogni host. Dunque, sempre sul server, torniamo in /etc/openvpn.
Occupiamoci del CA; facciamogli generare una sua chiave (''ca.key''), una sua richiesta di certificato (''rich.ca''), facciamogliela autofirmare (''ca.cert'') e depositare successivamente su ogni host. Dunque, sempre sul server, torniamo in /etc/openvpn.
   
   
<pre>
<pre>
Riga 135: Riga 135:
e is 65537 (0x10001)
e is 65537 (0x10001)


# openssl req -new -key ca.key -out ca.csr
# openssl req -new -key ca.key -out rich.ca
You are about to be asked to enter information that will be incorporated
You are about to be asked to enter information that will be incorporated
into your certificate request.
into your certificate request.
Riga 148: Riga 148:


<pre>
<pre>
# openssl x509 -req -in ca.csr -signkey ca.key �out ca.crt
# openssl x509 -req -in rich.ca -signkey ca.key �out ca.cert
Signature ok
Signature ok
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd
subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd
Getting Private key
Getting Private key
</pre>
</pre>
Ricapitolando dovremmo aver creato '''ca.key  ca.csr''' e '''ca.crt'''.
Ricapitolando dovremmo aver creato '''ca.key  rich.ca''' e '''ca.cert'''.


===TLS-Server & TLS-Client===
===TLS-Server & TLS-Client===
Riga 160: Riga 160:
<pre>
<pre>
# openssl genrsa -out server.key
# openssl genrsa -out server.key
# openssl req -new -key ca.key -out ser.csr
# openssl req -new -key server.key -out rich.ser
</pre>
</pre>
Facciamo firmare al CA la richiesta di certificato del server:
Facciamo firmare al CA la richiesta di certificato del server:
<pre>
<pre>
# openssl x509 -req -in ser.csr -CA ca.cert -CAkey ca.key -CAcreateserial -out ser.crt
# openssl x509 -req -in rich.ser -CA ca.cert -CAkey ca.key -CAcreateserial -out ser.cert
</pre>
</pre>
Sul server creiamo anche il Diffie-Hellman:
Sul server creiamo anche il Diffie-Hellman:
Riga 176: Riga 176:
<pre>
<pre>
# openssl genrsa -out client.key
# openssl genrsa -out client.key
# openssl req -new -key ca.key -out cli.csr
# openssl req -new -key client.key -out rich.cli
</pre>
</pre>
Spediamo il certificato al CA (''che risiede sul server''), facciamocelo firmare e rispedire in /etc/openvpn (''stessa procedura del server per la firma'').
Spediamo il certificato al CA (''che risiede sul server''), facciamocelo firmare e rispedire in /etc/openvpn (''stessa procedura del server per la firma'').
Riga 187: Riga 187:
tls-server
tls-server
dh dh.pem
dh dh.pem
ca ca.crt
ca ca.cert
cert ser.crt
cert ser.cert
key server.key
key server.key
lport 5000
lport 5000
Riga 201: Riga 201:
ifconfig 10.0.0.2 255.255.255.0
ifconfig 10.0.0.2 255.255.255.0
tls-client
tls-client
ca ca.crt
ca ca.cert
cert cli.crt
cert cli.cert
key client.key
key client.key
rport 5000
rport 5000
128

contributi