OpenVPN (Ubuntu 18.04): Unterschied zwischen den Versionen

Aus Tutorials
Zur Navigation springen Zur Suche springen
Zeile 88: Zeile 88:


==== Client-Zertifikat und Schlüssel ====
==== Client-Zertifikat und Schlüssel ====
Schlüssel und Zertifikatsantrag erstellen:


<pre>
<pre>
sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1
</pre>
</pre>


Bei der Frage nach dem Common Name einfach den Standardwert server übernehmen.  
Bei der Frage nach dem Common Name einfach den Standardwert server übernehmen.  
Der Zertifikatsantrag muss, wie beim Server, wieder von der CA unterschrieben werden:
<pre>
sudo ./easyrsa sign-req client client1
</pre>


Danach die Dateien in ein Verzeichnis pro Client kopieren und ein TAR-Archiv daraus erstellen:
Danach die Dateien in ein Verzeichnis pro Client kopieren und ein TAR-Archiv daraus erstellen:

Version vom 27. Oktober 2019, 16:49 Uhr

Installation

Um die Installation anzuzeigen bitte aufklappen

sudo apt-get install openvpn easy-rsa 

Ordner zur Schlüsselerzeugung kopieren:

sudo cp -r /usr/share/easy-rsa /etc/openvpn/easy-rsa2 

Konfiguration

Um die allgemeine Konfiguration anzuzeigen bitte aufklappen

Schlüssel und Zertifikate generieren

Variablen anpassen

In das RSA-Verzeichnis wechseln:

cd /etc/openvpn/easy-rsa2/

Die Datei /etc/openvpn/easy-rsa2/vars kopieren

sudo cp vars.example vars
sudo nano vars

und folgende Zeilen einkommenieren und anpassen (nicht leer lassen):

#set_var EASYRSA_REQ_COUNTRY    "US"
#set_var EASYRSA_REQ_PROVINCE   "California"
#set_var EASYRSA_REQ_CITY       "San Francisco"
#set_var EASYRSA_REQ_ORG        "Copyleft Certificate Co"
#set_var EASYRSA_REQ_EMAIL      "me@example.net"
#set_var EASYRSA_REQ_OU         "My Organizational Unit"

...

#set_var EASYRSA_KEY_SIZE        2048

Certificate Authority (CA) erstellen

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

Bei der Frage Common Name (eg: your user, host, or server name) [Easy-RSA CA]: einfach ENTER klicken.

Server Schlüssel erstellen

Mittels folgendem Befehl wird ein Server-Schlüssel und ein Zertifikatsantrag erstellt:

sudo ./easyrsa gen-req server nopass

Bei der Frage nach dem Common Name einfach den Standardwert server übernehmen.

Danach muss der Zertifikatsantrag von der CA unterschrieben werde:

sudo ./easyrsa sign-req server server

Diffie-Hellman-Schlüssel für den Austausch

sudo ./easyrsa gen-dh

Keyed-Hash Message Authentication Code

cd /etc/openvpn/server
sudo openvpn --genkey --secret ta.key

Client-Zertifikat und Schlüssel

Schlüssel und Zertifikatsantrag erstellen:

sudo ./easyrsa gen-req client1 nopass

Bei der Frage nach dem Common Name einfach den Standardwert server übernehmen.

Der Zertifikatsantrag muss, wie beim Server, wieder von der CA unterschrieben werden:

sudo ./easyrsa sign-req client client1

Danach die Dateien in ein Verzeichnis pro Client kopieren und ein TAR-Archiv daraus erstellen:

sudo su
mkdir -p /etc/openvpn/easy-rsa2/client-configs/client1/keys 
chmod -R 700 /etc/openvpn/easy-rsa2/client-configs 

cp /etc/openvpn/easy-rsa2/pki/issued/client1.crt /etc/openvpn/easy-rsa2/client-configs/client1/keys
cp /etc/openvpn/easy-rsa2/pki/private/client1.key /etc/openvpn/easy-rsa2/client-configs/client1/keys
cp /etc/openvpn/easy-rsa2/pki/ca.crt /etc/openvpn/easy-rsa2/client-configs/client1/keys
cp /etc/openvpn/server/ta.key /etc/openvpn/easy-rsa2/client-configs/client1/keys

cd client-configs/client1/
tar -czf client1.tgz keys/*
exit

Auflistung aller Serverdateien

Die für die Serverkonfiguration benötigten Dateien liegen danach unter folgenden Verzeichnissen:

../easy-rsa2/pki/ca.crt
../easy-rsa2/pki/issued/server.crt
../easy-rsa2/pki/private/server.key
../easy-rsa2/pki/dh.pem

Links

https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10


Zurück zu Ubuntu