fr:vpn:renew-cert
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
fr:vpn:renew-cert [2019/10/13 15:01] – modification externe 127.0.0.1 | fr:vpn:renew-cert [2020/11/29 18:24] – [Installation] harpo-bzh | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== | + | # Renouvellement du certificat |
- | TODO: refaire les images | + | Si vous avez des problèmes pour vous connecter au VPN et que vous voyez l' |
- | Si je ne me trompe ces méthodes sont reprisent | + | ```sh |
- | Pour mettre à jour cette application : | + | Certificate has key usage 00a0, expects 00a0 |
+ | ``` | ||
+ | dans le fichier `/var/log/openvpn-client.log`, | ||
- | `$ sudo yunohost app upgrade neutrinet -u https:// | + | Pour vérifier sa date d' |
- | Si non, et que vous voyez l' | + | ```sh |
- | Pour vérifier sa date d' | + | openssl x509 -in /etc/openvpn/keys/user.crt -enddate |
+ | ``` | ||
+ | |||
+ | qui donne ... | ||
```sh | ```sh | ||
- | $ openssl x509 -in / | + | notAfter=Nov |
- | notAfter=Nov | + | |
-----BEGIN CERTIFICATE----- | -----BEGIN CERTIFICATE----- | ||
- | ... | + | .... |
- | -----END CERTIFICATE----- | + | |
``` | ``` | ||
+ | La date affichée après le `noAfter` est la date d' | ||
- | La date affichée après le `noAfter` est la date d' | + | FIXME la commande suivante avec `-notext` retourne une erreur `Unrecognized flag notext` |
+ | ```sh | ||
+ | $ openssl x509 -in / | ||
- | Il y a trois procédures possibles pour renouveler le certificat. | + | notAfter=Nov 12 13:42:43 2018 GMT |
+ | ``` | ||
- | # Directement à partir d'une brique | ||
- | Pour le renouveler, en tant que `root`: | + | Il y a quatre méthodes possibles pour renouveler |
+ | ## 1. App Neutrinet | ||
+ | |||
+ | L' | ||
+ | |||
+ | ### Installation | ||
+ | |||
+ | Vérifiez que vous avez la liste des applications de Neutrinet: | ||
```sh | ```sh | ||
- | $ cd / | + | yunohost app list |
- | $ ve/ | + | |
``` | ``` | ||
- | # Procédure par le script Renew_cert de Bram | + | Si la liste `neutrinet` n' |
+ | ```sh | ||
+ | yunohost app fetchlist -n neutrinet -u https:// | ||
+ | ``` | ||
+ | FIXME ATTENTION : la commande est " | ||
- | La procédure est donc de cloner le dépôt git sur ton cubie board, ou d'ailleurs sur n' | + | À partir |
+ | ```sh | ||
+ | yunohost app install neutrinet | ||
+ | ``` | ||
- | `git clone https:// | + | ### Mise à jour |
- | (dans le dossier qui te convient le mieux) | + | Pour mettre à jour cette application: |
- | Et tu rentres dans le sous-dossier qui vient d' | + | ```sh |
+ | yunohost tools update | ||
+ | yunohost tools upgrade --apps neutrinet | ||
+ | ``` | ||
- | `cd renew_cert` | + | ## 2. À partir d'une brique |
- | Ensuite, tu crées un environnement virtuel python (ce qui veut dire que les paquets pythons que tu installeras n'affecteront pas le reste de ton système) | + | __Si l'application Neutrinet est déjà installée__, |
+ | ```sh | ||
+ | cd / | ||
+ | ./ | ||
+ | ``` | ||
- | `virtualenv ve` | + | ## 3. Via le script renew_cert |
- | Puis, tu actives cet environnement: | + | Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur: |
+ | ```sh | ||
+ | git clone https:// | ||
+ | ``` | ||
- | `source ve/ | + | Déplacez-vous dans le dossier qui vient d' |
+ | ```sh | ||
+ | cd renew_cert | ||
+ | ``` | ||
- | Enfin, tu installes | + | Créez un environnement virtuel python3. Cela signifie que les paquets python3 qui seront installés n' |
+ | ```sh | ||
+ | python3 -m venv ve | ||
+ | ``` | ||
- | `pip install -r requirements.txt` | + | Activez ensuite cet environnement: |
+ | ```sh | ||
+ | source ve/ | ||
+ | ``` | ||
- | Pour finir, tu peux enfin lancer le script | + | Installez les dépendances du script: |
+ | ``` | ||
+ | pip install | ||
+ | ``` | ||
- | `python | + | Enfin, lancez le script via cette commande: |
+ | ``` | ||
+ | python | ||
+ | ``` | ||
+ | |||
+ | Il vous sera demandé votre mot de passe pour se connecter au VPN de Neutrinet. | ||
- | Je te conseillerais de mettre | + | Si tout se passe bien, un sous-dosser nommé `certs_YYYY-MM-DD_HH: |
- | Le script | + | |
- | Tu auras alors dans le dossier renew_cert, un sous-dosser appelé certs_2017-07-xx_XX: | + | Les fichiers qui nous intéressent sont `client.crt` et `client.key`, c'est-à-dire la clé publique |
- | Ce sont essentiellement les fichiers | + | Ces fichiers doivent remplacer |
- | Avant de remplacer l'un par l' | + | Sur la brique internet, ces fichiers se trouvent |
- | Cela donnerait quelque chose comme (toujours en étant dans le dossier renew_cert): | + | |
+ | **Remarque**: | ||
```sh | ```sh | ||
- | sudo mv / | + | sudo mv / |
- | sudo mv / | + | sudo mv / |
- | sudo mv client.crt / | + | sudo mv client.crt / |
- | sudo mv client.key / | + | sudo mv client.key / |
``` | ``` | ||
- | OU (apparement dans centains cas -à définir- user. remplace client.) | + | Il ne reste plus qu'à redémarrer le service OpenVPN pour voir s'il fonctionne toujours. |
+ | **Remarque**: | ||
+ | ```sh | ||
+ | sudo systemctl restart openvpn` | ||
``` | ``` | ||
- | sudo mv / | + | |
- | sudo mv / | + | Pour vérifier que vous êtes connecté derrière le VPN, vous pouvez lancer la commande: |
- | sudo mv user.crt / | + | ```sh |
- | sudo mv user.key / | + | ip addr |
``` | ``` | ||
+ | Normalement, | ||
- | Après quoi, il ne te resterait plus qu'à re-démarrer | + | ## 4. Via le site user.neutrinet.be |
+ | Cette méthode demande parfois de la patience car user.neutrinet.be peut connaître des ratés. | ||
- | `sudo systemctl restart | + | Connectez-vous en ssh à votre brique internet, puis allez dans le dossier où se trouve la clé du VPN (il s'agit normalement du fichier |
+ | ```sh | ||
+ | cd / | ||
+ | ``` | ||
- | # Procédure manuelle et via le site user.neutrinet.be | + | Créez une demande de signature de clés (CSR) pour cette clé: |
+ | ```sh | ||
+ | openssl req -new -newkey rsa:4096 -nodes -keyout | ||
+ | ``` | ||
- | Deuxième méthode | + | Plusieurs questions vous seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché. |
+ | Le plus important est le `Cname`, qui est le nom qui sera utilisé par Neutrinet pour savoir à qui appartient le certificat. | ||
- | La seconde méthode consiste à se connecter en ssh au cubieboard, aller dans le dossier où se trouve la clef du VPN (a priori, il s'agit du fichier / | + | **Remarque**: |
- | `cd / | + | Cette commande crée un fichier `client.csr`, |
+ | ```sh | ||
+ | cat client.csr | ||
+ | ``` | ||
- | Puis de créer une demande de signature de clefs (CSR) pour cette clef | + | Copiez ce contenu, et rendez-vous sur https:// |
- | `openssl req -new -sha1 -out client.csr -key user.key` | + | {{ : |
- | Plusieurs questions te seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché. Le plus important est le " | + | Connectez-vous |
- | Cette commande créé un fichier client.csr, qui contient la demande de signature. Tu peux en voir le contenu en faisant | + | {{ : |
- | `cat client.csr` | + | Cliquez sur `Users` |
- | Copie ce contenu précieusement, | + | {{ :fr: |
- | Connecte-toi | + | Attendez que cela charge, et quand vous voyez votre nom, cliquez dessus |
- | **image** | + | {{ : |
- | Clique | + | Cliquez |
+ | {{ : | ||
- | Attends que cela charge, et quand tu vois ton nom, clique dessus, puis sur "View associated clients" | + | Cliquez sur votre certificat (si vous en avez plusieurs, il faut utiliser celui avec une IPv4 - 80.67.181.x) |
+ | {{ : | ||
- | **image** | + | Choisissez l' |
- | Ensuite clique sur ton certificat (si tu en as plusieurs, il faut utiliser celui qui liste une IPv4 - 80.67.181.x), et choisi l' | + | {{ : |
+ | Le certificat actuel s' | ||
- | **image** | + | Cliquez sur le bouton `Rekey` pour confirmer. |
- | Il va alors te présenter ton certificat actuel. si tu cliquer sur Rekey, tu auras la possibilité de coller | + | Une fois cette opération terminée, vous verrez |
- | Une fois cette opération terminée, tu verras un bandeau comme ceci: | + | {{ :fr: |
- | **image** | + | Vous pouvez |
- | + | ||
- | Tu pourras | + | |
+ | Cela va télécharger un fichier zip qui contient les fichiers de certificat. Dans le dossier `/ | ||
Voilà, c'est tout! | Voilà, c'est tout! | ||
- | |||
- | # Liens | ||
- | |||
- | - https:// | ||
- | - https:// | ||
fr/vpn/renew-cert.txt · Dernière modification : 2024/06/19 08:32 de hgo