Cài đặt và cấu hình OpenVPN trên máy chủ Linux

Một phần của tài liệu Báo cáo thực tập tại Trung tâm Giao dịch CNTT Hà Nội (Trang 33 - 52)

OpenVPN sẽ được cài đặt và cấu hình trên máy chủ trung tâm

Bước 1: Chắc chắn rằng các gói GCC đã được cài đặt hoặc là sẽ nhận được thông báo lỗi cài đặt

openvpn-2.0.tar.gz

Tạo một thư mục có tên là OpenVPN trong /usr và download 2 gói phần mềm đó về thư mục đó.

Bước 3: Giải nén và cài đặt lzo-1.08.tar.gz

Chuyển đến thư mục sau khi giải nén được bung ra là lzo-1.08 và tiến hành cài đặt.

Bước 4: Giải nén và cài đặt openvpn-2.0.tar.gz

Chuyển đến thư mục được bung ra sau khi giải nén là openvpn-2.0 để tiến hành cài đặt

Bước 5: Cài đặt Certificate Authority-CA và tạo giấy chứng nhận và key cho một server OpenVPN và nhiều client

Tổng quan

Certificate Authority (CA) là một dạng như "Giấy chứng nhận", dùng để chứng thực user trên internet hay intranets...Certificate gồm một cặp khóa : khóa công cộng (public key) và khóa riêng tư (private key) để chứng thực user, mã hóa dữ liệu...

Bước đầu tiên trong việc cấu hình là thiết lập một PKI (public key infrastructure). PKI bao gồm:

• Một private certificate ( cũng được hiểu như là một khóa công khai) và một khóa riêng tư cho server và cho mỗi client.

• Một CA và key được sử dụng để làm kí hiệu cho server và cho việc cấp chứng nhận client.

OpenVPN hỗ trợ việc xác thực hai chiều dựa trên việc cấp chứng nhận, nghĩa là client phải xác thực server đã được chứng nhận và server phải xác nhận client đã được chứng nhậ trước khi sự tin tưởng lẫn nhau được thiết lập.

Cả hai server và client sẽ xác thực lẫn nhau bằng cách trước tiên là đưa ra việc chứng thực đã được báo bởi CA chủ, và sau đó bởi thông tin kiểm tra trong phần đầu của chứng thực, ví dụ như chứng thực tên hay chứng thực kiểu (client hay server).

Chế độ bảo mật này có các đặc tính sau:

• Server chỉ cần certificate/ key của máy chủ mà không cần quan tâm đến các khóa của client kết nối đến nó.

• Server chỉ chấp nhận những client nào mà khóa của nó đã được signed bởi Master CA certificate. Và bởi vì server có thể kiểm chứng chữ ký mà không cần truy cập đến khóa CA riêng của chính nó, nó có thể cho khóa CA lưu trú trên một máy khác hoàn toàn, thậm chí nó không cần kết nối mạng.

• Nếu một private key không hợp lệ có thể sẽ disabled bằng cách gửi đến CRL (Certificate Revocation List). CRL cho phép các khóa bị lỗi hay không còn thích hợp bị từ chối mà không cần phải tọa lại toàn bộ PKI.

• Server có thể có được quyền truy cập client được chỉ định dựa trên các trường chứng thực đi kèm, ví dụ như Common Name.

Để cho Openvpn hoạt động được ta tiến hành khởi tạo . Một master CA certificate/key và SERVER certificate/key , cuối cùng là client

certificate/key .

Hầu hết các tham số đều để mặc định như các giá trị đã thiết lập trong các file

vars hoặc vars.bat. Chỉ có tham số phải điền vào là Common Name. Ví dụ: OpenVPN-CA

Bước 6: Tạo Certificate và khóa cho server

Như bước trước đó, hầu hết các tham số để mặc định. Khi tham số Common Name được yêu cầu, nhập “server”. Hai câu hỏi tiếp theo yêu cầu

trả lời rõ ràng, “Sign the certificate?[y/n]” và “1 out of 1 certificate requests certified, commit? [y/n] ”.

Tạo certificate và khóa cho client:

File Keys

Có những key và certificate mới được tạo ra trong thư mục con keys. Sau đây là những giải thích về những file có trong đó:

ca.crt Server + client Chứng thực Root CA

Không

ca.key Server + client Chứng thực Root

CA

dh{n}.pem Server Tham số Diffie

Hellman

Không

Server.crt Server Chứng thực

server

Server.key Server Khóa server Có

Client.crt Client Chứng thực

client

Không

Client.key Client Khóa client Có

Tạo ra thư mục có tên là config trong thư mục openvpn-2.0. Coppy tất cả những file có trong thư mục openvpn-2.0/sample-config vào thư mục config, và coppy các thư mục dh1024.pem, server.key, server.crt, ca.crt của thư mục openvpn-2.0/easy-rsa/key vào thư mục openvpn/config.

Bước 7: Tạo file cấu hình cho server

Sửa file cấu hình server.conf. Trong quá trình này, nó sẽ tạo ta một VPN sử dụng một giao diện mạng TUN ảo, sẽ lắng nghe các client kết nối tới trên UDP port 1194, và sẽ sắp xếp các địa chỉ ảo tới các client kết nối đến từ subnet 10.8.0.0/24.

Trước khi sử dụng file cấu hình mẫu, cần phải sửa lại tham số ca, cert, key

và dh trong file đã tạo trong phần PKI ở trên.

Bước 8: Sửa file cấu hình client trong đường dẫn config/client.conf.

Vì các máy client của Trung tâm đều sử dụng Windown XP nên sẽ tiến hành cấu hình file này dành cho các máy client là Windown XP.

• Giống như file cấu hình server, trước tiên sửa các tham số ca, cert và

key có trong các file trong phần tạo PKI. Mỗi client nên có một cặp

cert/key riêng.

• Cuối cùng, chắc chắn rằng file cấu hình client là phù hợp với file cấu hình server. Điều quan trọng là kiểm tra dev (tun hay tap) và proto

Bước 9: khởi động và chạy Openvpn

Một phần của tài liệu Báo cáo thực tập tại Trung tâm Giao dịch CNTT Hà Nội (Trang 33 - 52)

Tải bản đầy đủ (DOC)

(54 trang)
w