Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:openvpn:accueil [2025/06/17 13:31] – [Configurer le CA] admin
+++ reseau:openvpn:accueil [2025/06/17 13:36] (Version actuelle) – [Création du certificat signé pour le serveur OpenVPN sur le serveur VPN] admin
@@ Ligne 26: / Ligne 26: @@
 ==== Configurer le CA ====
     * copier le fichier vars.example en **vars**
 <code shell>
 # cd EasyRSA-3.0.8
 # cp vars.example vars
 </code>
     * éditer le fichier **vars** pour modifier ces lignes en les décommentant
 <code shell>
 #set_var EASYRSA_REQ_COUNTRY    "US"
@@ Ligne 47: / Ligne 50: @@
   *  génération du CA en indiquant le **common name** et en supprimant la nécessité d'utiliser une passphrase pour chaque action sur le CA avec le paramètre **no-pass** :
 <code shell>
 # ./easyrsa build-ca nopass
@@ Ligne 61: / Ligne 65: @@
 ===== Création du certificat signé pour le serveur  OpenVPN sur le serveur VPN=====
   * Téléchargez EasyRSA
 <code shell>
 # wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
@@ Ligne 67: / Ligne 72: @@
   * lancer le script **easyrsa** pour initialiser le dossier PKI sur le client OpenVPN
 <code shell>
 # cd EasyRSA-3.0.8
 # ./easyrsa init-pki
 </code>
   * génération des clés avec l'option **nopass** en précisant le nom du serveur OpenVPN
 <code shell>
 # ./easyrsa gen-req OpenVPN nopass
 </code>
 <WRAP center round info>
 Création :
@@ Ligne 80: / Ligne 89: @@
   * du fichier de demande de certificat OpenVPN.req pour signature auprès du CA.
 </WRAP>
-    * copie de la clé privée du serveur
+  * copie de la clé privée du serveur
 <code shell>
 # cp pki/private/OpenVPN.key /etc/openvpn/
 </code>
-    * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)
+  * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)
 <code shell>
 # scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/OpenVPN.req /tmp
 </code >
-    * sur le serveur CA, importer le fichier de demande
+  * sur le serveur CA, importer le fichier de demande
 <code shell>
 # ./easyrsa import-req /tmp/OpenVPN.req OpenVPN
 </code>
-    * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes
+  * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes
 <code shell>
 # ./easyrsa sign-req server OpenVPN
 </code>
-    * transfert du certificat signé du CA vers le serveur OpenVPN
+  * transfert du certificat signé du CA vers le serveur OpenVPN
 <code shell>
 # scp pki/issued/OpenVPN.crt root@ip_serveur_OpenVPN:/tmp
 </code>
   * transfert du certificat public du CA vers le serveur OpenVPN
 <code shell>
 # scp pki/ca.crt root@ip_serveur_OpenVPN:/tmp
 </code>
   * copie sur le serveur OpenVPN des fichier OpenVPN.crt et ca.crt du dossier /tmp dans le dossier /etc/openvpn
 <code shell>
 # cp /tmp/{OpenVPN.cet,ca.crt} /etc/openvpn
 </code>
     * création sur le serveur OpenVPN d'une clé Diffie-Hellman qui sera utilisée pour les échanges de clés
 <code shell>
 # ./easyrsa gen-dh
 </code>
 <WRAP center round info>
 La clé Diffie-Hellman dh.pem est mise dans le sous-dossier pki
@@ Ligne 117: / Ligne 143: @@
     *  génération d'une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur:
 <code shell>
 # openvpn --genkey --secret ta.key
 </code>
     *  copie de la clé dh.pem et de la signature ta.key dans le dossier /etc/openvp:
 <code shell>
 # cp ta.key /etc/openvpn
 # cp pki/dh.pem /etc/openvpn
 </code>
 <WRAP center round info>
 Le serveur OpenVPN est maintenant prêt avec tous les fichiers nécessaires.