rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:openvpn_easy_rsa

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:openvpn_easy_rsa [2023/09/19 12:53] – [Elenco dei certificati creati e revoca] niccolodoc:appunti:linux:sa:openvpn_easy_rsa [2024/01/24 16:39] (current) – [File di configurazione per il client] niccolo
Line 43: Line 43:
 set_var EASYRSA_REQ_OU         "My Organizational Unit" set_var EASYRSA_REQ_OU         "My Organizational Unit"
  
-set_var EASYRSA_CA_EXPIRE      3650 +set_var EASYRSA_CA_EXPIRE      3653 
-set_var EASYRSA_CERT_EXPIRE    1080+set_var EASYRSA_CERT_EXPIRE    1826
 </file> </file>
  
Line 52: Line 52:
  
 <code> <code>
-./easyrsa build-ca+./easyrsa build-ca nopass
 </code> </code>
  
-Viene chiesta una **passphrase**, che servirà in futuro a firmare i certificati rilasciati da questa CA (è in effetti la password necessaria a sbloccare la chiave privata della CA). Eventualmente è possibile aggiungere il parametro **nopass**, per evitare di dover digitare una password in tutte le operazioni seguenti, in tal caso la sicurezza è garantita dal fatto che solo root può accedere alla cartella **easy-rsa**.+Omettendo il parametro **nopass** viene chiesta una //passphrase//, che servirà in futuro a firmare i certificati rilasciati da questa CA (è in effetti la password necessaria a sbloccare la chiave privata della CA). Con il parametro **nopass** si evita di dover digitare una password in tutte le operazioni seguentila sicurezza è garantita dal fatto che solo root può accedere alla cartella **easy-rsa**.
  
 Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l'infrastruttura PKI. Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l'infrastruttura PKI.
Line 97: Line 97:
  
 <file> <file>
 +#---------------------------------------------------------------
 +# OpenVPN configuration for Easy-RSA server.
 +#---------------------------------------------------------------
 verb 3 verb 3
 status /var/log/openvpn/openvpn-status.log status /var/log/openvpn/openvpn-status.log
-port 1194+lport 1194
 proto udp proto udp
 dev tun dev tun
Line 121: Line 124:
 ifconfig-pool-persist ipp.txt ifconfig-pool-persist ipp.txt
 push "route-gateway 10.9.8.1" push "route-gateway 10.9.8.1"
 +# Route only the the local LAN.
 push "route 192.168.0.0 255.255.255.0" push "route 192.168.0.0 255.255.255.0"
 +# Route all the traffic through the VPN.
 +#push "redirect-gateway autolocal"
  
 keepalive 10 120 keepalive 10 120
Line 190: Line 196:
 pull pull
 remote 10.0.1.189 1194 remote 10.0.1.189 1194
 +# Routing is pushed by the server.
 +#route-gateway dhcp
 +# Route only the remote LAN.
 +#route 192.168.1.0 255.255.255.0 vpn_gateway
 +# Route all the internet traffic through the VPN.
 +#redirect-gateway autolocal
 remote-cert-tls server remote-cert-tls server
 resolv-retry infinite resolv-retry infinite
Line 197: Line 209:
 reneg-sec 60 reneg-sec 60
 key-direction 1 key-direction 1
-cipher AES-256-CBC+# The --cipher option is used to connect OpenVPN older than 2.6.0. 
 +#cipher AES-256-CBC 
 +# Newer connections using TLS uses the --data-ciphers option. 
 +data-ciphers AES-256-GCM:AES-128-GCM
 auth SHA256 auth SHA256
 auth-nocache auth-nocache
Line 281: Line 296:
 <code> <code>
 openssl crl -in pki/crl.pem -noout -text openssl crl -in pki/crl.pem -noout -text
 +</code>
 +
 +Nel'opportuna sezione si potranno leggere delle righe del tipo:
 +
 +<file>
 +Revoked Certificates:
 +    Serial Number: 31185709CFD614AD3F87526A386B06CF
 +        Revocation Date: Sep 19 10:45:13 2023 GMT
 +</file>
 +
 +Poichè la CRL ha una scadenza è necessario un cronjob che periodicamente la rinnovi (il tempo di vita predefinito è di 180 giorni). Ecco ad esempio uno script adeguato:
 +
 +<code bash>
 +#!/bin/sh
 +# Generate a new Certificate Revocation List into the EasyRSA directory.
 +PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
 +cd /etc/openvpn/easy-rsa
 +./easyrsa gen-crl
 </code> </code>
  
doc/appunti/linux/sa/openvpn_easy_rsa.1695120808.txt.gz · Last modified: 2023/09/19 12:53 by niccolo