Ajuda para configurar o servidor OpenVPN

3

Eu configurei um servidor openvpn em ec2 seguindo as instruções aqui: link

Isso tudo funciona muito bem.

Eu gostaria de mudar isso para usar chaves assimétricas e permitir várias conexões de clientes, mas estou achando difícil encontrar a documentação do openvpn. Alguém sabe de um bom tutorial que poderia preencher a lacuna para mim?

É possível configurar o openvpn para usar as chaves ssh existentes das pessoas?

    
por nik 30.07.2009 / 05:30

3 respostas

5

Acho que você não encontrará uma maneira de usar as chaves SSH existentes com o OpenVPN. O OpenVPN precisa de certificados X.509 para operar, e eu não acredito que o OpenSSH use certificados x.509 sem patch (veja link ).

A chave para entender o OpenVPN e a criptografia assimétrica é entender como uma PKI funciona. O servidor OpenVPN é configurado com seu próprio certificado e só aceita certificados de cliente se eles estiverem assinados pela mesma CA que assinou seu próprio certificado.

No HOWTO oficial ( link ) você passa pela criação um par e certificado de chave pública / privada de CA (a "CA mestra" conforme o documento se refere a ele) e, em seguida, a criação de certificados para o servidor e 3 clientes. Você não precisa fazer isso na máquina do servidor OpenVPN (e, de fato, é uma boa idéia não fazer isso).

O HOWTO usa alguns scripts na distribuição do OpenVPN para manipular as ferramentas de linha de comando do OpenSSL (os scripts "easy-rsa"). Se você puder passar algum tempo se familiarizando com a ferramenta de linha de comando OpenSSL, terá ainda mais sorte. Para brincar, os scripts easy-rsa e o HOWTO são bons.

Para a melhor segurança, você criará uma autoridade de certificação em um computador offline (ou seja, conectividade de rede mínima ou inexistente) e solicitações de certificado (pares de chaves pública / privada) no servidor OpenVPN e em cada cliente. Você enviará as solicitações de certificado para a CA por algum meio, assinará as solicitações na CA e enviará os certificados resultantes de volta para as várias máquinas. Isso impede que as chaves privadas nunca cruzem o fio e mantenham a CA segura de comprometer.

    
por 30.07.2009 / 14:42
0

Veja o howto no Ubuntu: link É fácil de entender e funciona muito bem! Para vários clientes, basta criar uma nova configuração de cliente e chaves para cada usuário e substituir os nomes de configuração e chave pelo nome de usuário.

    
por 21.08.2009 / 09:33
0

Veja este HOWTO: link - Configuração sua própria Autoridade de Certificação (CA) e geração de certificados e chaves para um servidor OpenVPN e vários clientes

é provavelmente o que você quer ... quando terminar você deve ter no seu servidor uma configuração assim (entre outras):

ca.crt cert server.crt key server.key

    
por 21.08.2009 / 09:41