martes, 3 de noviembre de 2015

Creación de Certificados de seguridad para OpenVPN en Ubuntu Server

Despúes de Instalar y Configurar el servidor de OpenVPN en Ubuntu Server, vamos a configurar y crear los certificados de seguridad.



Pasos:
1.- Copiar los scripts de generación de Easy-RSA

cp -r /usr/share/easy-rsa/ /etc/openvpn

2.-Crear el directorio para guardar las llaves

mkdir /etc/openvpn/easy-rsa/keys

3.- Editar las variables para crear los certificados exclusivos a nuestra persona, negocio o institución:

export KEY_COUNTRY="US"
export KEY_PROVINCE="TX"
export KEY_CITY="Dallas"
export KEY_ORG="My Company Name"
export KEY_EMAIL="sammy@example.com"

export KEY_OU="MYOrganizationalUnit"

4.- en el mismo archivo de keys editar la siguiente línea, en el ejemplo se usa server como nombre pero puede ser el que ustedes gusten:

export KEY_NAME="server"

5.- Generar los parámetros Diffie-Hellman, puede tardar varios minutos dependiendo de las características de su servidor.


openssl dhparam -out /etc/openvpn/dh1024.pem 1024

6.- Cambiar de directorio:

cd /etc/openvpn/easy-rsa

7.- Inicializar la infraestructura de llaves publicas (PKI Public Key Infraestructure). Atención al punto y espacio frente a ./vars

. ./vars

8.- Aparece la siguiente advenrtencia, no es de importancia:

NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

9.- Ahora hay que limpiar el directorio de trabajo por si existiera alguna configuración vieja

./clean-all

10.- El comando final es crear las Autoridades Certificadas (CA Certificate Authority) invocando el siguiente comando

./build-ca

11.- Hay que generar el certificado y la llave para el servidor, recordar que si cambiaron el nombre de server anteriormente también hay que hacerlo aquí:

./build-key-server server

12.- El resultado generado es similar al de los CA, igual hay que presionar enter en todas las líneas al final aparecen 2 preguntas, hay que contestarlas con y

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Write out database with 1 new entries
Data Base Updated

13.- Ahora solo resta mover los certificados y llaves creados para el servidor al folder de /etc/openvpn:

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

14.- Podemos verificar que fué exitoso con el siguiente comando:

ls /etc/openvpn

Vemos que ya se encuentran los archivos en éste folder.

15.- Por último ya que está configurado nuestro servidor, resta ejecutarlo y revisar si se encuentra todo en orden:

service openvpn start

service openvpn status

Ahora veremos como Configurar y crear los certificados para los clientes.
Publicado por en
Etiquetas: , , , , , , , ,

1 comentario:

Suscribirse a: Enviar comentarios (Atom)