OPENVPN : gestion des certificats (partie 6)

On arrive à la fin de ce projet OpenVPN. Vous avez maintenant un serveur VPN qui fonctionne. Vous risquez d’avoir besoin de réaliser quelques actions de temps en temps comme mettre à jour votre serveur, créer de nouveaux certificats ou même d’en révoquer.

Pour mettre à jour votre serveur, rien de plus simple. Vous vous connectez en mode root et vous tapez juste la commande suivante :

apt-get update && apt-get upgrade

Pour créer de nouveaux certificats et fichiers de configuration client, il suffit de taper les commandes suivantes :

cd ~/openvpn-ca
source vars
./build-key-pass nom_du_certificat
cd ~/client-configs
./make_config.sh nom_du_certificat

Récupérez le fichier à l’aide de WinSCP comme indiqué dans la partie 5 pour l’installer ensuite sur le nouveau poste.

Il peut arriver que vous ayez besoin d’annuler un accès pour un appareil pour différentes raisons. Vous êtes un particulier et vous avez perdu votre équipement. Ou, au sein d’une société, une personne quitte l’entreprise et vous devez révoquer son certificat par sécurité.

Pour prendre en compte les révocations, il faut déjà créer un certificat qui sera révoqué pour que le fichier contenant les certificats révoqués ne soit pas vide.

Tout d’abord, créez un certificat :

cd ~/openvpn-ca
source vars
./build-key-pass certificat_revoque

Ensuite, tapez les commandes suivantes :

cd ~/openvpn-ca
source vars
./revoke-full certificat_revoque

Ce script inscrit alors le certificat « certificat_revoque » dans un fichier qui s’appelle « crl.pem ». Ce fichier se trouve dans le dossier « openvpn-ca ». Il faut le copier dans le dossier de configuration d’OpenVPN :

sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn

Il faut ensuite apporter une modification au fichier server.conf :

sudo nano /etc/openvpn/server.conf

Ajoutez à la fin du fichier la ligne suivante puis sauvegardez et quittez :

crl-verify crl.pem

Redémarrez le service OpenVPN pour que les modifications soient prises en compte. Vous devrez le faire pour chaque révocation :

sudo systemctl restart openvpn@server

Terminé. Vous pouvez maintenant utiliser pleinement votre serveur VPN.

Si la gestion des certificats vous semble lourde et si vous êtes dans une entreprise avec un contrôleur de domaine Active Directory, je vous invite alors à consulter la dernière partie qui vous permettra de gérer les accès en passant par votre AD.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.