rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:openvpn_easy_rsa

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:openvpn_easy_rsa [2024/12/16 18:00] – [Creazione della CA] niccolodoc:appunti:linux:sa:openvpn_easy_rsa [2025/02/06 12:01] (current) – [File di configurazione per il client] niccolo
Line 32: Line 32:
  
 ===== Creazione della CA ===== ===== Creazione della CA =====
 +
 +FIXME :!: In **Debian 11 Bullseye** sembra che ci sia un bug: l'eseguibile **/etc/openvpn/easy-rsa/easyrsa** è in realtà un link simbolico a **/usr/share/easy-rsa/easyrsa**. Se eseguito dal link simbolico ignora il contenuto del file **/etc/openvpn/easy-rsa/vars**. Come workaround si deve fare una copia dell'eseguibile. :!:
  
 Prima di creare il certificato della Certification Authority e la relativa chiave privata, si deve editare il file **vars** per impostare almeno le seguenti variabili: Prima di creare il certificato della Certification Authority e la relativa chiave privata, si deve editare il file **vars** per impostare almeno le seguenti variabili:
Line 54: Line 56:
 ./easyrsa build-ca nopass ./easyrsa build-ca nopass
 </code> </code>
 +
 +Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l'infrastruttura PKI.
  
 Omettendo il parametro **nopass** viene chiesta una //passphrase//, che servirà in futuro a firmare i certificati rilasciati da questa CA (è in effetti la password necessaria a sbloccare la chiave privata della CA). Con il parametro **nopass** si evita di dover digitare una password in tutte le operazioni seguenti; la sicurezza è garantita dal fatto che solo root può accedere alla cartella **easy-rsa**. Omettendo il parametro **nopass** viene chiesta una //passphrase//, che servirà in futuro a firmare i certificati rilasciati da questa CA (è in effetti la password necessaria a sbloccare la chiave privata della CA). Con il parametro **nopass** si evita di dover digitare una password in tutte le operazioni seguenti; la sicurezza è garantita dal fatto che solo root può accedere alla cartella **easy-rsa**.
- 
-Durante questo passaggio viene chiesto il **Common Name** della certification authority, in generale si può identificare il CN con il nome host della macchina che gestisce l'infrastruttura PKI. 
  
 Di tutti i file creati, i più importanti sono **./pki/ca.crt** e **./pki/private/ca.key** che sono rispettivamente il certificato della CA (pubblico) e la relativa chiave privata. Oltre a quelli, sempre nella directory **./pki/**, ci sono le direcotry per contentere le revocation lists, ecc. Di tutti i file creati, i più importanti sono **./pki/ca.crt** e **./pki/private/ca.key** che sono rispettivamente il certificato della CA (pubblico) e la relativa chiave privata. Oltre a quelli, sempre nella directory **./pki/**, ci sono le direcotry per contentere le revocation lists, ecc.
Line 66: Line 68:
 openssl x509 -in pki/ca.crt -text -noout openssl x509 -in pki/ca.crt -text -noout
 </code> </code>
- 
-FIXME Modificare la durata dei certificati che verranno rilasciati dalla presente CA editando il file **pki/safessl-easyrsa.cnf**: 
- 
-<file> 
-default_days = 3653 
-</file> 
  
 ===== Generazione di certificato e chiave per il server ===== ===== Generazione di certificato e chiave per il server =====
Line 218: Line 214:
 proto udp proto udp
 dev tun1 dev tun1
 +# Various options to fix MTU problems.
 +#tun-mtu 1500
 +mtu-test
 +mssfix 1331
 tls-client tls-client
 reneg-sec 60 reneg-sec 60
Line 227: Line 227:
 auth SHA256 auth SHA256
 auth-nocache auth-nocache
 +# Some Windows clients have problems with DCO like that:
 +# "Attempting to send data packet while
 +# data channel offload is in use. Dropping packet"
 +disable-dco
  
 <ca> <ca>
doc/appunti/linux/sa/openvpn_easy_rsa.1734368407.txt.gz · Last modified: 2024/12/16 18:00 by niccolo