PKI

Установка из исходников OpenConnect VPN-сервера (ocserv) на Debian 11 Bullseye

985 просмотров Комментариев нет

Разберем как установить из исходников актуальную (на момент написания статьи) версию VPN-сервера OpenConnect 1.2.2 на Debian 11 Bullseye.

# Все ниже действия будут производится из под root.

 

# Обновляем информацию о репозиториях и обновляем установленные пакеты:

apt-get update && apt-get upgrade -y

# Устанавливаем необходимые зависимости:

apt-get install build-essential make pkg-config libgnutls28-dev libev-dev libpam0g-dev liblz4-dev libseccomp-dev libreadline-dev libnl-route-3-dev libkrb5-dev libradcli-dev libpcl1-dev libcjose-dev libjansson-dev liboath-dev libprotobuf-c-dev libtalloc-dev libhttp-parser-dev libcurlpp-dev libssl-dev libmaxminddb-dev libbsd-dev libsystemd-dev libwrap0-dev libuid-wrapper libpam-wrapper libnss-wrapper libsocket-wrapper gss-ntlmssp tcpdump protobuf-c-compiler iperf3 lcov ssl-cert libpam-oath

 

# Скачиваем и распаковываем исходники OpenConnect (на момент написания статьи последняя версия 1.2.2):

wget -P /opt/ https://www.infradead.org/ocserv/download/ocserv-1.2.2.tar.xz
tar -xvf /opt/ocserv-1.2.2.tar.xz -C /opt/ 

cd /opt/ocserv-1.2.2

# Собираем и устанавливаем — OpenConnect:

./configure --prefix= --enable-oidc-auth

make && make install

 

# Создаем рабочий каталог для ocserv и копируем примеры файлов конфигурации в него:

mkdir -p /etc/ocserv/

cp doc/sample.config /etc/ocserv/ocserv.conf
cp doc/sample.passwd /etc/ocserv/
cp doc/sample.otp /etc/ocserv/
cp doc/profile.xml /etc/ocserv/

 

# Создаем пользователя ocserv от которого будет работать служба:

useradd -r -M -U -s /usr/sbin/nologin ocserv

Читать далее

Центр сертификации OpenSSL (Root и Intermediate CA certificates) на Debian 11 Bullseye

1 128 просмотров Комментариев нет

Разберем как поднять двухуровневую PKI (Root и Intermediate CA) инфраструктуру на базе OpenSSL в Debian 11 Bullseye.

Схема PKI (Root и Intermediate CA) инфраструктуры:

 

Используемые сервера и их обозначения в инструкции ниже:

  • Корневой ЦС — rootCA
  • Промедуточный ЦС — intermidiateCA
  • OCSP Responder — intermidiateCA
  • Веб-сервер — webCA

 

Устанавливаем OpenSSL на оба сервера (rootCA, intermidiateCA):

apt-get install openssl -y
ИНФОРМАЦИЯ. Если необходима поддерка шифрования по ГОСТ Р 34.10-2012 в OpenSSL, то установку OpenSSL следует выполнять по этой статье — Шифрование по ГОСТ Р 34.10-2012 в OpenSSL 1.1.1 на Debian 10 Buster 

 

Корневой центр сертификации (Offline Root CA)

Структура каталогов и файлов

Создадим структуру каталогов для хранения файлов ЦС, сертификатов и закрытых ключей:

mkdir -p /opt/CA/rootCA/{certs,crl,newcerts,private,csr}
cd /opt/CA/rootCA

где:

certs Этот каталог содержит сертификаты, сгенерированные и подписанные ЦС.
crl Каталог списка отзыва сертификатов (CRL) содержит списки отзыва сертификатов, сгенерированные ЦС.
newcerts В этом каталоге хранится копия каждого сертификата, подписанного ЦС, с серийным номером сертификата в качестве имени файла.
private Этот каталог содержит закрытые ключи для ЦС, включая закрытые ключи корневого ЦС и промежуточного ЦС. Эти ключи используются для подписи сертификатов и CRL.
csr В этом каталоге хранится копия каждого запроса сертификата.

Читать далее