OpenVPN/easy-rsa
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-認証局(オレオレCA)の作成と証明書の発行を楽にできるOpenVP...
#contents
*使い方 [#fc3881a9]
*用語 [#eddf38c1]
PKIの一般用語も含む
|CA|認証局|
|証明書認証|認証局立ててサーバー証明書とクライアント証明...
|ID&PW認証|LDAPなどの外部システムと連携して認証を行う|
*初期化と認証局立てる [#e6ecc8f7]
git clone https://github.com/OpenVPN/easy-rsa.git
cd easy-rsa/easyrsa3
-100年有効のCAを作成。easy-rsa/varsはコメント除いて以下だ...
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA *vars* file...
echo "no longer necessary and is disallowed. See the sec...
echo "*How to use this file* near the top comments for m...
return 1
fi
set_var EASYRSA_CA_EXPIRE 36500
set_var EASYRSA_CERT_EXPIRE 36500
set_var EASYRSA_CRL_DAYS 36500
./easyrsa init-pki
./easyrsa build-ca
build-caしたときにCA名称をつける。CAパスフレーズを設定し...
-CA内容の確認
./easyrsa show-ca
**証明書発行 [#b7e7fe75]
認証局にドメイン名をいれるけど、発行するのは別ドメインな...
(本来のCAの役割であればその組織のドメインを入れるべきだ...
./easyrsa build-server-full CA-NAME nopass
# show
./easyrsa show-cert CA-NAME
./easyrsa build-client-full user1 nopass
**更新 [#e28a14ff]
./easyrsa renew server1 nopass
*作成ファイル [#hc9de3a4]
-pki以下
ca.crt
private/ca.key
*Apacheで自己証明書を使う。 [#y5c256ef]
-Nginxだとそのまま使えたけど、Apacheだとエラーになる状況...
-秘密鍵とCSRの作成
./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutak...
-証明書の発行
*nginx向け証明書作成 [#l4eab125]
-crtに鍵以外の情報が入っているけど、そのまま使える。Apach...
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:exam...
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:exam...
*CentOS7にインストール [#j76c6000]
https://www.server-world.info/query?os=CentOS_7&p=openvpn
**ポート開放 [#nca4d367]
<rule family="ipv4">
<source address="許可したいIP/32"/>
<port protocol="udp" port="1194"/>
<accept/>
</rule>
**トラブル [#u3514ab3]
***ネットにつながらない [#b88b5d5c]
-デフォルトだとネット接続はVPN経由しないらしいのだが!
-つながるサイトとつながらないサイトがある。自宅サイト/Goo...
-VPN経由にして、IPマスカレード有効にしてもだめ
*実験 [#cf551ca3]
**クライアント証明書 [#l89f2da1]
-CAが一緒なら別の証明書でも接続できた。
**証明書更新 [#u6ea2315]
-サーバー側だけ更新したときにクライアント証明書は期限まで...
*接続後に通知(うまく行かない) [#vfd4a401]
https://blog.ymyzk.com/2016/10/openvpn-slack-notification/
*AWS VPN Client [#gf942083]
-Subnetに紐づけている時間から課金発生。
-2022年ぐらいにOpenVPN系の更新タスクがあり、そのときに作...
**構築 [#tad29850]
-ターゲットネットワークの結びつけに15分ぐらいかかったよ...
-証明書の切り替えは一瞬
**接続 [#o48e9135]
Ubuntu標準のやつだとだめだった。ovpnファイルを読み込める...
|クライアント|サーバー|結果|
|期限2年|期限2年|○|
|期限2年|更新後期限10年|○|
|更新後期限10年|更新後期限10年|○|
|更新後期限10年|期限2年|○|
終了行:
-認証局(オレオレCA)の作成と証明書の発行を楽にできるOpenVP...
#contents
*使い方 [#fc3881a9]
*用語 [#eddf38c1]
PKIの一般用語も含む
|CA|認証局|
|証明書認証|認証局立ててサーバー証明書とクライアント証明...
|ID&PW認証|LDAPなどの外部システムと連携して認証を行う|
*初期化と認証局立てる [#e6ecc8f7]
git clone https://github.com/OpenVPN/easy-rsa.git
cd easy-rsa/easyrsa3
-100年有効のCAを作成。easy-rsa/varsはコメント除いて以下だ...
if [ -z "$EASYRSA_CALLER" ]; then
echo "You appear to be sourcing an Easy-RSA *vars* file...
echo "no longer necessary and is disallowed. See the sec...
echo "*How to use this file* near the top comments for m...
return 1
fi
set_var EASYRSA_CA_EXPIRE 36500
set_var EASYRSA_CERT_EXPIRE 36500
set_var EASYRSA_CRL_DAYS 36500
./easyrsa init-pki
./easyrsa build-ca
build-caしたときにCA名称をつける。CAパスフレーズを設定し...
-CA内容の確認
./easyrsa show-ca
**証明書発行 [#b7e7fe75]
認証局にドメイン名をいれるけど、発行するのは別ドメインな...
(本来のCAの役割であればその組織のドメインを入れるべきだ...
./easyrsa build-server-full CA-NAME nopass
# show
./easyrsa show-cert CA-NAME
./easyrsa build-client-full user1 nopass
**更新 [#e28a14ff]
./easyrsa renew server1 nopass
*作成ファイル [#hc9de3a4]
-pki以下
ca.crt
private/ca.key
*Apacheで自己証明書を使う。 [#y5c256ef]
-Nginxだとそのまま使えたけど、Apacheだとエラーになる状況...
-秘密鍵とCSRの作成
./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutak...
-証明書の発行
*nginx向け証明書作成 [#l4eab125]
-crtに鍵以外の情報が入っているけど、そのまま使える。Apach...
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:exam...
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:exam...
*CentOS7にインストール [#j76c6000]
https://www.server-world.info/query?os=CentOS_7&p=openvpn
**ポート開放 [#nca4d367]
<rule family="ipv4">
<source address="許可したいIP/32"/>
<port protocol="udp" port="1194"/>
<accept/>
</rule>
**トラブル [#u3514ab3]
***ネットにつながらない [#b88b5d5c]
-デフォルトだとネット接続はVPN経由しないらしいのだが!
-つながるサイトとつながらないサイトがある。自宅サイト/Goo...
-VPN経由にして、IPマスカレード有効にしてもだめ
*実験 [#cf551ca3]
**クライアント証明書 [#l89f2da1]
-CAが一緒なら別の証明書でも接続できた。
**証明書更新 [#u6ea2315]
-サーバー側だけ更新したときにクライアント証明書は期限まで...
*接続後に通知(うまく行かない) [#vfd4a401]
https://blog.ymyzk.com/2016/10/openvpn-slack-notification/
*AWS VPN Client [#gf942083]
-Subnetに紐づけている時間から課金発生。
-2022年ぐらいにOpenVPN系の更新タスクがあり、そのときに作...
**構築 [#tad29850]
-ターゲットネットワークの結びつけに15分ぐらいかかったよ...
-証明書の切り替えは一瞬
**接続 [#o48e9135]
Ubuntu標準のやつだとだめだった。ovpnファイルを読み込める...
|クライアント|サーバー|結果|
|期限2年|期限2年|○|
|期限2年|更新後期限10年|○|
|更新後期限10年|更新後期限10年|○|
|更新後期限10年|期限2年|○|
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
