使い方

用語

PKIの一般用語も含む

CA認証局
証明書認証認証局立ててサーバー証明書とクライアント証明書を発行して認証。証明書の管理(紛失時は失効&再発行)や更新が面倒
ID&PW認証LDAPなどの外部システムと連携して認証を行う

初期化と認証局立てる

./easyrsa init-pki
./easyrsa build-ca

証明書発行

認証局にドメイン名をいれるけど、発行するのは別ドメインなのでここのドメイン名は適当で良い。 (本来のCAの役割であればその組織のドメインを入れるべきだが)

./easyrsa build-server-full server1 nopass
./easyrsa build-client-full user1 nopass

更新

./easyrsa renew server1 nopass

作成ファイル

  • pki以下
    ca.crt
    private/ca.key

Apacheで自己証明書を使う。

  • Nginxだとそのまま使えたけど、Apacheだとエラーになる状況で調査中
  • 秘密鍵とCSRの作成
./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutake.com' gen-req rutake.com nopass
  • 証明書の発行

nginx向け証明書作成

  • crtに鍵以外の情報が入っているけど、そのまま使える。Apacheだと現在エラーとなる
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' gen-req example.com nopass
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' sign-req server example.com

CentOS7にインストール

https://www.server-world.info/query?os=CentOS_7&p=openvpn

ポート開放

 <rule family="ipv4">
   <source address="許可したいIP/32"/>
   <port protocol="udp" port="1194"/>
   <accept/>
 </rule>

トラブル

ネットにつながらない

  • デフォルトだとネット接続はVPN経由しないらしいのだが!
  • つながるサイトとつながらないサイトがある。自宅サイト/GoogleMap/Qiitaなどは平気だが行けないところが多い。ERR_ADDRESS_UNREACHABLE
  • VPN経由にして、IPマスカレード有効にしてもだめ

実験

クライアント証明書

  • CAが一緒なら別の証明書でも接続できた。

証明書更新

  • サーバー側だけ更新したときにクライアント証明書は期限まで有効であること(keyも合わせて更新する必要がある!!)

接続後に通知(うまく行かない)

https://blog.ymyzk.com/2016/10/openvpn-slack-notification/

AWS VPN Client

構築

  • ターゲットネットワークの結びつけに15分ぐらいかかったような。
  • 証明書の切り替えは一瞬

接続

Ubuntu標準のやつだとだめだった。ovpnファイルを読み込める専用クライアントなら難なく成功。サーバー証明書とクライアント証明書は同一を指定

クライアントサーバー結果
期限2年期限2年
期限2年更新後期限10年
更新後期限10年更新後期限10年
更新後期限10年期限2年

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2022-06-25 (土) 07:34:49