OpenVPN/easy-rsa の履歴(No.14)

認証局(オレオレCA)の作成と証明書の発行を楽にできるOpenVPNのサブツール

使い方†

用語†

PKIの一般用語も含む

CA	認証局
証明書認証	認証局立ててサーバー証明書とクライアント証明書を発行して認証。証明書の管理（紛失時は失効＆再発行）や更新が面倒
ID&PW認証	LDAPなどの外部システムと連携して認証を行う

↑

初期化と認証局立てる†

./easyrsa init-pki
./easyrsa build-ca

↑

証明書発行†

認証局にドメイン名をいれるけど、発行するのは別ドメインなのでここのドメイン名は適当で良い。（本来のCAの役割であればその組織のドメインを入れるべきだが）

./easyrsa build-server-full server1 nopass
./easyrsa build-client-full user1 nopass

↑

更新†

./easyrsa renew server1 nopass

↑

作成ファイル†

pki以下
```
ca.crt
private/ca.key
```

↑

Apacheで自己証明書を使う。†

Nginxだとそのまま使えたけど、Apacheだとエラーになる状況で調査中

秘密鍵とCSRの作成

./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutake.com' gen-req rutake.com nopass

証明書の発行

↑

nginx向け証明書作成†

crtに鍵以外の情報が入っているけど、そのまま使える。Apacheだと現在エラーとなる

./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' gen-req example.com nopass
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' sign-req server example.com

↑

CentOS7にインストール†

https://www.server-world.info/query?os=CentOS_7&p=openvpn

↑

ポート開放†

 <rule family="ipv4">
   <source address="許可したいIP/32"/>
   <port protocol="udp" port="1194"/>
   <accept/>
 </rule>

↑

トラブル†

↑

ネットにつながらない†

デフォルトだとネット接続はVPN経由しないらしいのだが！
つながるサイトとつながらないサイトがある。自宅サイト/GoogleMap/Qiitaなどは平気だが行けないところが多い。ERR_ADDRESS_UNREACHABLE
VPN経由にして、IPマスカレード有効にしてもだめ

↑

実験†

↑

クライアント証明書†

CAが一緒なら別の証明書でも接続できた。

↑

証明書更新†

サーバー側だけ更新したときにクライアント証明書は期限まで有効であること(keyも合わせて更新する必要がある！！）

↑

接続後に通知(うまく行かない)†

https://blog.ymyzk.com/2016/10/openvpn-slack-notification/

↑

AWS VPN Client†

↑

構築†

ターゲットネットワークの結びつけに１５分ぐらいかかったような。
証明書の切り替えは一瞬

↑

接続†

Ubuntu標準のやつだとだめだった。ovpnファイルを読み込める専用クライアントなら難なく成功。サーバー証明書とクライアント証明書は同一を指定

クライアント	サーバー	結果
期限２年	期限２年	○
期限２年	更新後期限１０年	○
更新後期限１０年	更新後期限１０年	○
更新後期限１０年	期限２年	○