Dernier message de la page précédente :
Salut, merci,Code : Tout sélectionner
Remarque importante sur la possible "Man-in-the-Middle" attaque si les clients ne vérifient pas le certificat du serveur sur lequel ils se connectent à.
Pour éviter une éventuelle attaque Man-in-the-Middle où un client autorisé tente de se connecter à un autre client en usurpant l'identité du serveur, assurez-vous de respecter une sorte de certificat de serveur de vérification par les clients. Il existe actuellement cinq façons différentes d'accomplir cela, énumérés dans l'ordre de préférence:
[OpenVPN 2.1 et au-dessus] Créer vos certificats de serveur avec utilisation de la clé spécifique et l'utilisation de clé étendue. La RFC3280 déterminer que les attributs suivants doivent être fournis pour les connexions TLS:
Mode Utilisation de la clé Extended Key Usage
Client signature numérique Authentification du client Web TLS
keyAgreement
digitalSignature, keyAgreement
Serveur digitalSignature, keyEncipherment Authentification du serveur Web TLS
digitalSignature, keyAgreement
Vous pouvez construire vos certificats de serveur avec le build-key-serveur de script (voir le facile-rsa documentation pour plus d'info). Cela va désigner le certificat comme un serveur seul certificat en définissant les bonnes attributs. Maintenant, ajoutez la ligne suivante à la configuration de votre client:
serveur distant-cert-TLS
[OpenVPN 2.0 et ci-dessous] Construisez vos certificats de serveur avec le build-key-serveur script (voir la facile rsa documentation pour plus d'info). Cela va désigner le certificat comme un serveur seul certificat par la mise en nsCertType = serveur. Maintenant, ajoutez la ligne suivante à la configuration de votre client:
server-cert-Type ns
Ceci va bloquer clients de se connecter à un serveur qui n'a pas la nsCertType designation = serveur dans son certificat, même si le certificat a été signé par le ca fichier dans le fichier de configuration OpenVPN.
Utilisez le TLS-éloignées directive sur le client d'accepter / rejeter la connexion du serveur basé sur le nom commun du certificat du serveur.
Utilisez un TLS-vérifier script ou plug-in d'accepter / rejeter la connexion serveur basé sur un test personnalisé du embarqués X509 détails du sujet du certificat de serveur.
Signer les certificats de serveur avec un CA et de certificats clients avec un autre CA. La configuration du client ca directive devrait faire référence au fichier de serveur CA-signature, tandis que la configuration serveur ca directive devrait référencer le fichier de signature de l'AC client.
Exemple de fichiers de configuration OpenVPN 2.0
sample-config-files / server.conf
#################################################
# OpenVPN fichier de configuration 2.0 Exemple de #
# serveur multi-client. #
# #
# Ce fichier est pour le côté serveur #
# d'un à un serveur de nombreux clients-#
# configuration OpenVPN. #
# #
# OpenVPN supporte également #
# seule machine d'une seule machine #
# configurations (Voir la page des exemples #
# sur le site web pour plus d'info). #
# #
# Cette configuration devrait fonctionner sur Windows #
systèmes / BSD Linux ou #. Rappelez-vous le #
# Windows pour citer les noms de chemin et utiliser #
# doubles barres, par exemple: #
# "C: \\ Program Files \\ \\ config OpenVPN \\ foo.key" #
# #
# Les commentaires sont précédés par '#' ou ';' #
################################################# # Quelle adresse IP locale devrait OpenVPN # écouter sur? (Optionnel) ; abcd locale