On arrive à la fin de ce projet OpenVPN. Vous avez maintenant un serveur VPN qui fonctionne. Vous risquez d’avoir besoin de réaliser quelques actions de temps en temps comme mettre à jour votre serveur, créer de nouveaux certificats ou même d’en révoquer.
Pour mettre à jour votre serveur, rien de plus simple. Vous vous connectez en mode root et vous tapez juste la commande suivante :
apt-get update && apt-get upgrade
Pour créer de nouveaux certificats et fichiers de configuration client, il suffit de taper les commandes suivantes :
cd ~/openvpn-ca source vars ./build-key-pass nom_du_certificat cd ~/client-configs ./make_config.sh nom_du_certificat
Récupérez le fichier à l’aide de WinSCP comme indiqué dans la partie 5 pour l’installer ensuite sur le nouveau poste.
Il peut arriver que vous ayez besoin d’annuler un accès pour un appareil pour différentes raisons. Vous êtes un particulier et vous avez perdu votre équipement. Ou, au sein d’une société, une personne quitte l’entreprise et vous devez révoquer son certificat par sécurité.
Pour prendre en compte les révocations, il faut déjà créer un certificat qui sera révoqué pour que le fichier contenant les certificats révoqués ne soit pas vide.
Tout d’abord, créez un certificat :
cd ~/openvpn-ca
source vars
./build-key-pass certificat_revoque
Ensuite, tapez les commandes suivantes :
cd ~/openvpn-ca
source vars
./revoke-full certificat_revoque
Ce script inscrit alors le certificat « certificat_revoque » dans un fichier qui s’appelle « crl.pem ». Ce fichier se trouve dans le dossier « openvpn-ca ». Il faut le copier dans le dossier de configuration d’OpenVPN :
sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn
Il faut ensuite apporter une modification au fichier server.conf :
sudo nano /etc/openvpn/server.conf
Ajoutez à la fin du fichier la ligne suivante puis sauvegardez et quittez :
crl-verify crl.pem
Redémarrez le service OpenVPN pour que les modifications soient prises en compte. Vous devrez le faire pour chaque révocation :
sudo systemctl restart openvpn@server
Terminé. Vous pouvez maintenant utiliser pleinement votre serveur VPN.
Si la gestion des certificats vous semble lourde et si vous êtes dans une entreprise avec un contrôleur de domaine Active Directory, je vous invite alors à consulter la dernière partie qui vous permettra de gérer les accès en passant par votre AD.