rigacci.org

User Tools

Site Tools

Trace: OpenVPN con Easy-RSA
doc:appunti:linux:sa:openvpn_easy_rsa

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:openvpn_easy_rsa [2025/06/10 10:10] – [Certificato del server] niccolodoc:appunti:linux:sa:openvpn_easy_rsa [2025/06/24 11:42] (current) – [Configurazione del server] niccolo
Line 142: Line 142:
 auth SHA256 auth SHA256
 # Avoid default BF-CBC cipher, because of its 64-bit block size. # Avoid default BF-CBC cipher, because of its 64-bit block size.
-cipher AES-256-CBC+# The --cipher option should not be used any longer with OpenVPN 2.6 in TLS mode. 
 +#cipher AES-256-CBC 
 +# Use --data-ciphers appending AES-256-CBC to the default value for clients using OpenVPN 2.3. 
 +data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
 persist-key persist-key
 persist-tun persist-tun
Line 347: Line 350:
 openssl x509 -text -noout -in /etc/openvpn/easy-rsa/pki/ca.crt openssl x509 -text -noout -in /etc/openvpn/easy-rsa/pki/ca.crt
 </code> </code>
 +
 +=== Rinnovo certificato della CA ===
 +
 +FIXME
  
 ==== Certificato del server ==== ==== Certificato del server ====
Line 358: Line 365:
 Il file contiene in chiaro la //Validity// => //Not After//, altrimenti è possibile decodificare la parte PEM dello stesso file con il comando ''openssl'' visto sopra. Il file contiene in chiaro la //Validity// => //Not After//, altrimenti è possibile decodificare la parte PEM dello stesso file con il comando ''openssl'' visto sopra.
  
-=== Rinnovo Certificato del server ===+=== Rinnovo certificato del server === 
 + 
 +È opportuno revocare il vecchio certificato prima di generare quello nuovo. Nel file di configurazione OpenVPN del server si può infatti indicare una sola opzione ''cert'', pertanto non è possibile utilizzare contemporaneamente i due certificati a meno di non utilizzare due configurazioni separate. 
 + 
 +<code> 
 +cd /etc/openvpn/easy-rsa 
 +./easyrsa revoke server 
 +./easyrsa gen-crl 
 +</code> 
 + 
 +La CRL (Certificate Revocation List) va inclusa nella configurazione del server con l'opzione ''crl-verify'' (nel nostro esempio **/etc/openvpn/server-rigacci-org.conf**): 
 + 
 +<file> 
 +crl-verify /etc/openvpn/easy-rsa/pki/crl.pem 
 +</file> 
 + 
 +Il file **/etc/openvpn/easy-rsa/pki/index.txt** evidenzia la revoca con la lettera **R** ad inizio riga. 
 + 
 +La generazione del nuovo certificato (con la validità impostata nel file ''/etc/openvpn/easy-rsa/vars'', opzione ''EASYRSA_CERT_EXPIRE'') si effettua con: 
 + 
 +<code> 
 +cd /etc/openvpn/easy-rsa 
 +./easyrsa gen-req server nopass 
 +./easyrsa sign-req server server 
 +</code>
  
 ==== Certificati dei client ==== ==== Certificati dei client ====
Line 383: Line 414:
  
 Ciascun file contiene in chiaro la //Validity// => //Not After//, altrimenti è possibile decodificare la parte PEM dello stesso file con il comando ''openssl'' visto sopra. Ciascun file contiene in chiaro la //Validity// => //Not After//, altrimenti è possibile decodificare la parte PEM dello stesso file con il comando ''openssl'' visto sopra.
 +
 +=== Rinnovo certificato di un client ===
 +
 +FIXME
  
  
doc/appunti/linux/sa/openvpn_easy_rsa.1749543027.txt.gz · Last modified: by niccolo