OpenVPN の設定と使用

OpenVPN の設定と使用

OpenVPN は、暗号化された仮想プライベート ネットワーク トンネルを作成するためのソフトウェア パッケージであり、作成された VPN で認証に公開キー、デジタル証明書、またはユーザー名/パスワードを使用できるようになります。 OpenVPN は、Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X、Windows 2000/XP/Vista/7、Android、iOS で実行され、多くのセキュリティ機能を備えています。

OpenVPN 2.0 を構成する最初のステップは、PKI (公開鍵インフラストラクチャ) をセットアップすることです。 PKI には以下が含まれます。

  • サーバーと各クライアントは証明書(公開鍵とも呼ばれる)と秘密鍵を持っている
  • 各サーバー証明書とクライアント証明書に署名するために使用される証明機関 (CA) 証明書と秘密キー。

OpenVPN は証明書に基づく双方向認証をサポートしています。つまり、クライアントはサーバーを認証する必要があり、サーバーもクライアントを認証する必要があります。

サーバーとクライアントが相互に認証するための最初のステップは、相手側が提供した証明書が証明機関 (CA) によって発行されたものであることを確認することです。次に、証明書の共通名や証明書の種類 (クライアントまたはサーバー) など、認証の最初の手順に合格した証明書のヘッダー情報をテストします。

VPN の観点から見ると、このセキュリティ モデルはいくつかの要件を満たしています。

  • サーバーは独自の証明書/秘密鍵のペアのみを必要とし、クライアントの証明書を知る必要はありません。
  • サーバーは、CA によって発行された証明書を持つクライアントのみを受け入れます。証明書が CA によって発行されたかどうかを確認する際にサーバーは CA の秘密鍵にアクセスする必要がないため、CA の秘密鍵 (PKI 全体で最も重要な秘密鍵) を別のマシンに配置できます。
  • 秘密鍵が侵害された場合、その証明書を CRL (証明書失効リスト) に追加することで、その秘密鍵の使用を禁止できます。 CRL を使用すると、PKI 全体を再構築することなく、侵害された証明書を選択的に拒否できます。
  • Vommon 名などの埋め込まれた証明書フィールドに基づいて、サーバーはクライアント固有のアクセス権を適用できます。

マスター証明機関(CA)証明書と秘密鍵を生成する

このセクションでは、マスター CA 証明書/秘密キー、サーバー証明書/秘密キー、および 2 つのクライアント証明書/秘密キーを生成します。

OpenVPN にバンドルされているスクリプトのセットを使用します。

Linux で Sehll を開き、OpenVPN の easy-rsa ディレクトリに入ります。 OpenVPN が RPM パッケージからインストールされている場合、easy-rsa ディレクトリは通常、/usr/share/doc/packages/openvpn または /usr/share/doc/openvpn-2.0 ディレクトリにあります (将来の OpenVPN アップグレードによって変更が上書きされないように、変更を加える前にこのディレクトリを /etc/openvpn などの別の場所にコピーすることをお勧めします)。

Windows では、コマンド ライン ウィンドウを開き、\Program Files\OpenVPN\easy-rsa ディレクトリに入ります。次のバッチ ファイルを実行して、構成ファイルを正しい場所にコピーします (このコマンドは、既存の vars.bat ファイルと openssl.cnf ファイルを上書きします)。

初期化設定

vars ファイル (Windows では vars.bat) を編集し、KEY_COUNTRY、KEY_PROVINCE、KEY_CITY、KEY_ORG、および KEY_EMAIL パラメータを設定します。これらのパラメータはいずれも空白にできません。

次に、PKI を初期化します。Linux の場合:

 . ./変数

元のタイトル: OpenVPN の設定と使用

キーワード:

<<:  神馬検索がBATからドメイン名を奪取中

>>:  A5 マーケティング: B2B サイトにおけるモイスチャー マーケティングの影響はどの程度ですか?

推薦する

neoserver: 月額 4 ドル、KVM、ロシア VPS、100Mbps 無制限トラフィック

ロシアのモスクワデータセンターでVPSを販売している業者neoserver(Dilmax Corpo...

クラウドコンピューティングの利点

企業の IT システムをクラウド コンピューティング インフラストラクチャに変換することを検討したこ...

外国貿易のマーケティングとプロモーションでよくある6つの間違いの分析

対外貿易マーケティングとは、「広告」、「マスプロモーション」、「バイラルマーケティング」、「テレマー...

BilibiliはZhihuの「飯碗」を盗んだのか?

知乎がテキストや画像から動画への移行の流れの中で大きな波を作ろうと決意したとき、ビリビリが先頭に立っ...

ウェブサイトのランキングを最適化するにはどのくらいの時間がかかり、最適化サイクルが効果を発揮するにはどのくらいの時間がかかりますか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブサイ...

ウェブマスターになるという夢を実現するにはどうすればいいでしょうか? ウェブサイトを成功させるには、最初から始める必要があります。

我が国が中国の夢の実現に全力で取り組んでいる中、ウェブマスター界隈にも国家の呼びかけに応えるウェブマ...

B2Bウェブサイトのコンテンツオーディエンスのニュアンスを理解する方法

あなたのオーディエンスは誰ですか? 彼らはどんな問題を抱えていますか? 彼らが何に興味を持っているの...

vpscreed-3日間半額/マネージドVPS/SSDハードドライブ

vpscreed はインド人が経営する会社で、データセンターは米国とドイツにあります。このプロモーシ...

#11.11# akkocloud: 生涯 20% オフ、3 億ドイツ CN2 GIA、ドイツネイティブ IP、Netflix のロック解除

akkocloud は比較的新しい中国の商人です。主な事業は、国内独立サーバー、国内 NAT ポート...

草の根WeChatプラットフォームの成長方法に関する6つの実践的な洞察

WeChatパブリックプラットフォームはどのように運営されるべきでしょうか? 強力な企業背景を持たな...

SEOの現場で起こりやすい3つの一般的な問題について議論する

ますます多くの企業がインターネット マーケティングに注力するようになり、特に近年の電子商取引の急速な...

A5 Yuehuai: スパムリンクと戦い、ソースを捕捉 Baidu アルゴリズムは輸出リンクをターゲットに

10月23日、百度のアルゴリズムが再びアップグレードされ、ハイパーリンクの不正操作によって百度の検索...

純粋なコンテンツプラットフォームは衰退し、自社制作コンテンツが増加している

まず、最近の事実をいくつか紹介します。 1. Youku は 2013 年第 4 四半期も依然として...

racknerd: 「520」すべての VPS と「ハイブリッド サーバー」が 50% オフのプロモーション、低価格、高構成の VPS

Racknerd は、5 月 21 日まで 1 週間続く新しい「520」プロモーションを開始しました...