OpenVPN/easy-rsa

• 認証局(オレオレCA)の作成と証明書の発行を楽にできるOpenVPNのサブツール
  • 使い方
  • 用語
  • 初期化と認証局立てる
    • 証明書発行
    • 更新
  • 作成ファイル
  • Apacheで自己証明書を使う。
  • nginx向け証明書作成
  • CentOS7にインストール
    • ポート開放
    • トラブル
      • ネットにつながらない
  • 実験
    • クライアント証明書
    • 証明書更新
  • 接続後に通知(うまく行かない)
  • AWS VPN Client
    • 構築
    • 接続

使い方 †

用語 †

PKIの一般用語も含む

初期化と認証局立てる †

./easyrsa init-pki
./easyrsa build-ca

証明書発行 †

認証局にドメイン名をいれるけど、発行するのは別ドメインなのでここのドメイン名は適当で良い。 （本来のCAの役割であればその組織のドメインを入れるべきだが）

./easyrsa build-server-full server1 nopass
./easyrsa build-client-full user1 nopass

更新 †

./easyrsa renew server1 nopass

作成ファイル †

• pki以下

  ca.crt
  private/ca.key

Apacheで自己証明書を使う。 †

• Nginxだとそのまま使えたけど、Apacheだとエラーになる状況で調査中

• 秘密鍵とCSRの作成

./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutake.com' gen-req rutake.com nopass

• 証明書の発行

nginx向け証明書作成 †

• crtに鍵以外の情報が入っているけど、そのまま使える。Apacheだと現在エラーとなる

./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' gen-req example.com nopass
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' sign-req server example.com

CentOS7にインストール †

https://www.server-world.info/query?os=CentOS_7&p=openvpn

ポート開放 †

 <rule family="ipv4">
   <source address="許可したいIP/32"/>
   <port protocol="udp" port="1194"/>
   <accept/>
 </rule>

トラブル †

ネットにつながらない †

• デフォルトだとネット接続はVPN経由しないらしいのだが！
• つながるサイトとつながらないサイトがある。自宅サイト/GoogleMap/Qiitaなどは平気だが行けないところが多い。ERR_ADDRESS_UNREACHABLE
• VPN経由にして、IPマスカレード有効にしてもだめ

実験 †

クライアント証明書 †

• CAが一緒なら別の証明書でも接続できた。

証明書更新 †

• サーバー側だけ更新したときにクライアント証明書は期限まで有効であること(keyも合わせて更新する必要がある！！）

接続後に通知(うまく行かない) †

https://blog.ymyzk.com/2016/10/openvpn-slack-notification/

AWS VPN Client †

構築 †

• ターゲットネットワークの結びつけに１５分ぐらいかかったような。
• 証明書の切り替えは一瞬

接続 †

Ubuntu標準のやつだとだめだった。ovpnファイルを読み込める専用クライアントなら難なく成功。サーバー証明書とクライアント証明書は同一を指定