Tidigare delar av denna guide
Del 1
Del 2
Del 4
OpenVPN använder sig av certificat för att encryptera trafiken.
Det vi nu ska göra är att fixa våra certificate authority (CA) genom två steg.
1. Genom att ange variabler
2. Genera den slutgiltiga CA
OpenVPN fungerar på ett sådant sätt att clienten måste authentisiera sig mot serverns certificate och servern måste göra detsamma för att ömsesidigt förtroende fungerar dom två i mellan. För att få detta att fungera kommer vi andända oss av Easy RSA.
Kopiera över Easy-RSA scripten
cp -r /usr/share/easy-rsa/ /etc/openvpn
Skapa sedan en mapp avsett för säkerhetsnyckeln.
mkdir /etc/openvpn/easy-rsa/keys
Nu ska vi ange parameters för certificatet
Öppna variables filen med hjälp av nano eller någon annan text editor.
nano /etc/openvpn/easy-rsa/vars
Variablerna nedan markerade med –> /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY=”–>USTXDallasMy Company Namesammy@example.comMYOrganizationalUnit
I samma fil ska du ändra på raden som syns nedanför, för enkelhets skull ska vi använda server som namnet på nyckeln. Du kan använda ett annat namn men då behöver du också uppdatera OpenVPN configurationen och ändra på filerna som kopplas mot server.key och server.crt.
I samma fil ska vi ange dom korekta uppgifterna för certificatet, leta efter raden precis efter föregående.
/etc/openvpn/easy-rsa/vars
# X509 Subject Field
export KEY_NAME=”EasyRSA”
Ändra KEY_NAME’s värde som annars via default är EasyRSA till det värde du vill. I denna beskrivning kommer server att användas.
/etc/openvpn/easy-rsa/vars
# X509 Subject Field
export KEY_NAME=”server”
Spara och stäng ner filen.
Sen ska vi generera Diffie-Helman paramentarerna genom att använda ett inbyggt verktyg dom heter dhparam som är ett OpenSSL verktyg, detta kan ta flera minuter
Användandet av -out visar servern vart den ska spara dom nya paramenterarerna.
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Certificatet är nu genererat och det är hög tid vi skapar en nyckel.
Först och främst måste vi skifta till easy-rsa mappen.
cd /etc/openvpn/easy-rsa
Nu ska vi börja med att köra igång CA. Först ska vi starta igång Public Key Infrastructure (PKI).
Var vaksam på punkten (.) och mellanslag före ./vars commandot. Det visar på vilken mapp som är det som för tillfället är aktuell.
. ./vars
Följade varning kommer att skrivas ut på skärmen, det är inget att vara orolig för då mappen som visar sig i varningen är tom
OBS: om du kör ./clean-all så kommer datorn att göra en rm -rf på alla rsa nycklar.
Nästa steg är att rensa bort alla andra nycklar som kan vara ivägen för oss.
./clean-all
Till slut ska vi bygga upp CA med hjälp av OpenSSl commandon. Systemet kommer att be dig bekräfta ”Distinguished Name” variabler som du angett tidigare, bara trycke ENTER för att acepterat
./build-ca
Tryck ENTER för att godkänna varje fråga om dom tidigare värdena du angett.
Installationen och configureringen av The Certificate Authority är nu komplett.
Nu ska vi göra dom sista inställningarna och sedan starta upp OpenVPN servern.
Vi arbetar fortfarande med
/etc/openvpn/easy-rsa
Skapa sedan din nyckel med ditt server namn, det var det som vi angav som KEY_NAME i configen tidigarebuild your key with the server name. This was specified earlier as KEY_NAME in your configuration file. Det värdet som angavs i denna guide var server
./build-key-server server
Återigen så kommer datorn att fråga efter bekräftelse på Distinguished Name. Tryck bara på ENTER för att verifiera dom tidigare angivna värdena
Denna gång kommer det vara ytterligare två frågor sen tidigare.
Lägg till extra information som skickas med certificatet.
A challenge password []:
An optional company name []:
Båda ska lämnas tomma, så tryck bara på ENTER för att gå vidare.
Två frågor i slutet kräver ett positivt svar (y).
Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]
Du kommer sedan få se följande på din skärm, vilket tyder på att du lyckats bra.
Output
Write out database with 1 new entries
Data Base Updated
Vi ska nu kopiera certificaten och nyckeln till /etc/openvpn eftersom OpenVPN kommer att söka i just den mappen.
cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn
Om du vill kan du kontrollera så att kopieringen fungerade.
ls /etc/openvpn
Du kommer då att se certificatet och nyckeln som kommer användas för servern.
Som det är nu så är OpenVPN redo för start så varför inte starta den och se vad som händer.
service openvpn start
service openvpn status
Status kommer att något som liknar följande som svar:
Output
* openvpn.service – OpenVPN service
Loaded: loaded (/lib/systemd/system/openvpn.service; enabled)
Active: active (exited) since Thu 2016-12-29 07:43:37 EDT; 9s ago
Process: 9723 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 9723 (code=exited, status=0/SUCCESS)
Most importantly, from the output above, you should find Active: active (exited) since… instead of Active: inactive (dead) since….
Din OpenVPN server är nu igång och fungerande, om status medelandet skulle säga att VPN tjänsten inte körs så kontrollera då /var/log/syslog för eventuella error
Options error: –key fails with ’server.key’: No such file or directory
Medelandet visar på att nyckeln inte kopierats till /etc/openvpn Kopiera filen igen och prova starta servern och se vad som händer.
Lämna ett svar
Du måste vara inloggad för att publicera en kommentar.