OpenVPN の設定と使用

OpenVPN は、暗号化された仮想プライベート ネットワーク トンネルを作成するためのソフトウェア パッケージであり、作成された VPN で認証に公開キー、デジタル証明書、またはユーザー名/パスワードを使用できるようになります。 OpenVPN は、Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X、Windows 2000/XP/Vista/7、Android、iOS で実行され、多くのセキュリティ機能を備えています。

OpenVPN 2.0 を構成する最初のステップは、PKI (公開鍵インフラストラクチャ) をセットアップすることです。 PKI には以下が含まれます。

• サーバーと各クライアントは証明書（公開鍵とも呼ばれる）と秘密鍵を持っている
• 各サーバー証明書とクライアント証明書に署名するために使用される証明機関 (CA) 証明書と秘密キー。

OpenVPN は証明書に基づく双方向認証をサポートしています。つまり、クライアントはサーバーを認証する必要があり、サーバーもクライアントを認証する必要があります。

サーバーとクライアントが相互に認証するための最初のステップは、相手側が提供した証明書が証明機関 (CA) によって発行されたものであることを確認することです。次に、証明書の共通名や証明書の種類 (クライアントまたはサーバー) など、認証の最初の手順に合格した証明書のヘッダー情報をテストします。

VPN の観点から見ると、このセキュリティ モデルはいくつかの要件を満たしています。

• サーバーは独自の証明書/秘密鍵のペアのみを必要とし、クライアントの証明書を知る必要はありません。
• サーバーは、CA によって発行された証明書を持つクライアントのみを受け入れます。証明書が CA によって発行されたかどうかを確認する際にサーバーは CA の秘密鍵にアクセスする必要がないため、CA の秘密鍵 (PKI 全体で最も重要な秘密鍵) を別のマシンに配置できます。
• 秘密鍵が侵害された場合、その証明書を CRL (証明書失効リスト) に追加することで、その秘密鍵の使用を禁止できます。 CRL を使用すると、PKI 全体を再構築することなく、侵害された証明書を選択的に拒否できます。
• Vommon 名などの埋め込まれた証明書フィールドに基づいて、サーバーはクライアント固有のアクセス権を適用できます。

マスター証明機関（CA）証明書と秘密鍵を生成する

このセクションでは、マスター CA 証明書/秘密キー、サーバー証明書/秘密キー、および 2 つのクライアント証明書/秘密キーを生成します。

OpenVPN にバンドルされているスクリプトのセットを使用します。

Linux で Sehll を開き、OpenVPN の easy-rsa ディレクトリに入ります。 OpenVPN が RPM パッケージからインストールされている場合、easy-rsa ディレクトリは通常、/usr/share/doc/packages/openvpn または /usr/share/doc/openvpn-2.0 ディレクトリにあります (将来の OpenVPN アップグレードによって変更が上書きされないように、変更を加える前にこのディレクトリを /etc/openvpn などの別の場所にコピーすることをお勧めします)。

Windows では、コマンド ライン ウィンドウを開き、\Program Files\OpenVPN\easy-rsa ディレクトリに入ります。次のバッチ ファイルを実行して、構成ファイルを正しい場所にコピーします (このコマンドは、既存の vars.bat ファイルと openssl.cnf ファイルを上書きします)。

初期化設定

vars ファイル (Windows では vars.bat) を編集し、KEY_COUNTRY、KEY_PROVINCE、KEY_CITY、KEY_ORG、および KEY_EMAIL パラメータを設定します。これらのパラメータはいずれも空白にできません。

次に、PKI を初期化します。Linux の場合:

 . ./変数
 
        
        
元のタイトル: OpenVPN の設定と使用
        
キーワード: