linux:certificados:pki

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Següent revisió		 Revisió prèvia
linux:certificados:pki [22/03/2019 03:48] – creat matelinux:certificados:pki [21/05/2019 04:30] (actual) mate
Línia 1: Línia 1:
 = PKI = PKI
 [[https://linuxize.com/post/how-to-set-up-an-openvpn-server-on-centos-7/]] [[https://linuxize.com/post/how-to-set-up-an-openvpn-server-on-centos-7/]]
-Public Key Infraestrucure//+Public Key Infraestrucure\\
  
 == previa == previa
Línia 38: Línia 38:
     * este comando copia el fichero **server1.req** en **pki/reqs**     * este comando copia el fichero **server1.req** en **pki/reqs**
   - firmar la //request//: ''./easyrsa sign-req server server1''   - firmar la //request//: ''./easyrsa sign-req server server1''
-    el primer argumento puede ser **server** o **client** +    el primer argumento puede ser **server** o **client** 
-    - el segundo argumento es el sh+    * el segundo argumento es el //short name// de la entidad servidor 
 +    * genera un archivo **server1.crt** 
 + 
 +== configuración servidor 
 +  copiar el fichero de configuración de ejemplo desde **/usr/share/doc/openvpn-*/sample/sample-config-files/server.conf** 
 +  - ajustar los valores de las llaves: 
 +    - ca 
 +    - cert 
 +    - key 
 +    - dh 
 +    - tls-auth 
 +  - ajustar valores de redirección, si procede 
 +    - push "redirect-gateway" 
 +    - push "dhcp-option" 
 +  - ajustar usuario y grupo (por nobody:nogroup o uno a medida) 
 +    - user nobody 
 +    - user nogroup 
 +  - ajustar seguridad: 
 +    - auth SHA256 
 +  - algo parecido a esto:<code> 
 +port 1194 
 +proto udp 
 +dev tun 
 +ca ca.crt 
 +cert server1.crt 
 +key server1.key  # This file should be kept secret 
 +dh dh.pem 
 +server 10.8.0.0 255.255.255.0 
 +ifconfig-pool-persist ipp.txt 
 +push "redirect-gateway def1 bypass-dhcp" 
 +push "dhcp-option DNS 208.67.222.222" 
 +push "dhcp-option DNS 208.67.220.220" 
 +keepalive 10 120 
 +tls-auth ta.key 0 # This file is secret 
 +cipher AES-256-CBC 
 +user nobody 
 +group nobody 
 +persist-key 
 +persist-tun 
 +status openvpn-status.log 
 +verb 3 
 +explicit-exit-notify 1 
 +auth SHA256</code> 
 + 
 +== cliente 
 +  - ''./easyrsa gen-req client1 nopass'' 
 +    * **client1** es el nombre del fichero que generamos y el Common Name que nos sugiere 
 +    * **nopass** para que no nos solicite la contraseña al accedr 
 +    * genera **./pki/private/client1.key** y **./pki/reqs/server1.req** 
 +  - importar (en caso que la PKI la tengamos en otra máquina) la //requests// del cliente: ''./easyrsa import-req client1.req client1'' 
 +    * **client1.req** es el fichero creado 
 +    * **client1** nombre del servidor 
 +    * este comando copia el fichero **client1.req** en **pki/reqs** 
 +  - firmar la //request//: ''./easyrsa sign-req client client1'' 
 +    * el primer argumento puede ser **server** o **client** 
 +    * el segundo argumento es el //short name// de la entidad cliente 
 +    * genera un archivo **client1.crt** 
 + 
 +== AWS ACM 
 +Para poder importar esta PKI y usarla en AWS (para crear un VPNEndPoint, por ejemplo), es necesario importar los siguientes archivos: 
 +  - **./pki/issued/server1.crt** en cuerpo del certificado 
 +  - **./pki/private/server1.key** en la clave privada del certificado 
 +  - **./pki/ca.crt** en la cadena de certificados
  • linux/certificados/pki.1553251691.txt.gz
  • Darrera modificació: 22/03/2019 03:48
  • per mate