====== CREAZIONE DEI CERTIFICATI DI OPENVPN ====== Se si vuole migliorare la sicurezza della connessione openvpn è possibile ricorrere a certificati e ulteriori sistemi di criptazione. In questo capitolo riportiamo come possono essere create queste chiavi/certificati attraverso l'applicativo OpenVPN installato sul pc. Detti certificati potranno essere poi copiati nelle specifiche pagine dell'applicativo openvpn presente nel freetz. NB. la semplice creazione di questi certificati non porta al loro immediato utilizzo, andranno infatti modificate le configurazioni del server e dei client, ma ciò sarà oggetto di altri capitoli. L'esempio sotto riportato si applica ad un pc con sistema operativo windows vista/seven (se si ha xp la situazione è ancora più semplice in quanto non vengono richiesti gli avvii in modalità di amministratore). ---- __STEP 1__ : Installare su di un pc la versione di openvpn, così come illustrato nella wiki http://www.anime80.com/wikifritz/doku.php?id=per_chi_ha_fretta ---- __STEP 2__ : Creazione della chiave pubblica, privata e dei parametri Diffie-Hellman Apriamo un prompt dos in modalità di amministratore digitiamo (da qui in avanti in grassetto saranno riportati i comandi da inviare): **cd /Program Files/OpenVPN/easy-rsa** **Init-config** {{:cert2.jpg|}} se i file non vengono copiati accertarsi di avere aperto il prompt in modalità di amministratore. **edit vars.bat** si apre una finestra che constente di modificare i parametri {{:cert3.jpg|}} modificare i parametri finali per personalizzare il certificato ad esempio: set KEY_COUNTY=IT set KEY_PROVINCE=MI set KEY_CITY=Milano set KEY_ORG=vivailvoip set KEY_EMAIL=miaemail@libero.it Andare su file e salvare ed uscire Digitiamo in seguenza: **vars** **clean-all** {{:cert4.jpg|}} Generiamo la chiave privata RSA **build-ca** confermare con invio le impostazioni che vengono presentate {{:cert5.jpg|}} Adesso generiamo la chiave pubblica e quella privata del server digitando **build-key-server server** quando chiede your name or server’s hostname scrivere “server” {{:cert6.jpg|}} Generiamo la chiave pubblica e privata del client (il numero può essere progressivo nel caso di più client da configurare) **build-key client1** quando chiede your name or server’s hostname scrivere “client1” (per il resto si procede come per la creazione della chiave precedente) Generiamo i parametri Diffie-Hellman digitanto **build-dh** {{:cert7.jpg|}} a questo punto possiamo chiudere la sessione dos. ---- __STEP 3__ : Raccolta dei file contenenti le chiavi ed i certificati per il server Andiamo in C:/Programmi/OpenVpn/easy-rsa/keys Troveremo tutte le chiavi generate. in particolare: * ca.crt * dh1024.pem * server.crt * server.key Questi file possono essere aperti con editor di testo (consiglio scite o al limite il bloc notes di windows). Apriamo l’interfaccia freetz di openvpn e copiamo file editati sulle rispettive pagine e premendo apply alla fine * Server.crt da copiare in Box Cert * ca.crt da copiare in CA Cert * lasciare vuoto CRL * dh 1024.perm da copiare in DH Params * server.key da copiare in Private Key * static key troviamo la chiave generata in automatico da freetz (creare con editor di testo un file static.key cosi come illustrato nella wiki http://www.anime80.com/wikifritz/doku.php?id=per_chi_ha_fretta che servirà per il client. ---- __STEP 4__ : Raccolta dei file contenenti le chiavi ed i certificati per il client Andiamo in C:/Programmi/OpenVpn/easy-rsa/keys I seguenti file: * ca.cert * client1.crt * client1.key andranno copiati in nella cartella C:/Programmi/OpenVpn/config del pc client ad essi andrà aggiunto il file: static.key