6 votes

B345T avatar

OpenVPN : Ajouter des clients sans reconstruire toutes les clés ?

Demandé el 31 de Janvier, 2011
Quand la question a-t-elle été
49112 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de réussir à configurer OpenVPN correctement sur mon serveur et à le tester pour qu'il fonctionne correctement avec les ordinateurs clients et j'en suis venu à me demander comment les clés OpenVPN peuvent être générées au fur et à mesure que les clients arrivent et repartent.

Est-il nécessaire de reconstruire le mécanisme de changement de vitesse ? .dh et recréer toutes les clés des clients précédents car je dois juste ajouter ou supprimer un client ?

Gracias

Demandé el 31 de Janvier, 2011 par B345T

Réponses

Trop de publicités?

8voto

MadHatter avatar
MadHatter Points 77602

Comme le dit Ency, si vous avez créé votre propre autorité de certification, il vous suffit de créer une autre clé pour le nouvel utilisateur. Avant d'en dire plus, lorsque vous avez configuré openVPN, vous avez bien créé votre propre autorité de certification, comme cela est recommandé, n'est-ce pas ?

Edit : OK, alors

cd easy-rsa
. ./vars
./build-key newclient

J'ai aussi quelques notes quelque part sur la création d'une CRL, qui vous permet de révoquer les anciens certificats, et de faire pointer openVPN sur la CRL, mais je ne peux pas les retrouver immédiatement.

Répondu el 31 de Janvier, 2011 par MadHatter (77602 Points )

1voto

wojo avatar
wojo Points 385

Ma solution est la suivante :
J'ai ma propre autorité de certification et chaque fois que j'ai besoin d'un nouveau client, il me suffit de créer un nouveau certificat. C'est simple et je suis presque sûr que vous pouvez faire la même chose même avec easyRSA livré avec openVPN.
Il est également plus universel, car vous pouvez facilement gérer des certificats pour d'autres services tels qu'apache, etc.

Répondu el 31 de Janvier, 2011 par wojo (385 Points )

0voto

alvosu avatar
alvosu Points 8259

Utiliser l'option duplicate-cn et une seule clé pour tous les clients ou utiliser easy-rsa pour créer un utilisateur. certification .

Répondu el 31 de Janvier, 2011 par alvosu (8259 Points )

0voto

cheng81 avatar
cheng81 Points 1219

Vous pouvez également lier le CN (qui contient le nom de connexion de l'utilisateur) du certificat d'utilisateur à un login que vous pouvez administrer, par exemple, avec FreeRADIUS. J'ai écrit un petit script d'intégration script il y a quelques années. De cette façon, vous pouvez simplement bloquer l'accès d'un utilisateur en le supprimant de la liste des utilisateurs de FreeRADIUS. L'idée est que le certificat protège le VPN de toute autre personne, et le login FreeRADIUS de l'utilisateur lui-même (si le login de l'utilisateur doit être révoqué). Vous pouvez trouver le script et des détails supplémentaires aquí .

Répondu el 20 de Mai, 2016 par cheng81 (1219 Points )

0voto

JoyfulPanda avatar
JoyfulPanda Points 101

Testé sur OpenVPN 2.4.7 sur Windows 7. J'ai suivi ces étapes :

  1. Ouvrez la commande CMD avec les droits d'administrateur.
  2. Passer à facile-rsa dans le répertoire OpenVPN.
  3. Exécuter vars.bat .
  4. Exécuter clean-all.bat .
  5. Assurez-vous que ca.key y ca.crt dans le répertoire clés qui vient d'être créé par le clean-all.bat .
  6. Exécuter build-key A_New_Client .
  7. Il y aura A_New_Client.crt , A_New_Client.csr y A_New_Client.key . Il s'agit des fichiers spécifiques au nouveau client. Copiez-les quelque part.
  8. Pour des raisons de sécurité, déchiquetez le répertoire clés ci-dessus.

On suppose que vars.bat n'a pas été modifié depuis la dernière fois, en particulier la partie relative à la taille de la clé, ainsi que openssl-1.0.0.cnf est maintenue par défaut.

Répondu el 6 de Août, 2021 par JoyfulPanda (101 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X