Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:vpn:renew-cert [2019/12/15 10:23] – hgo
+++ fr:vpn:renew-cert [2022/05/15 14:50] – ajout info en plus tierce
@@ Ligne 1: / Ligne 1: @@
-# Renouvellement des certificats VPN
+# Renouvellement du certificat VPN
-FIXME refaire les images
 Si vous avez des problèmes pour vous connecter au VPN et que vous voyez l'erreur:
-```
+```sh
 Certificate has key usage  00a0, expects 00a0
 ```
 dans le fichier `/var/log/openvpn-client.log`, c'est que votre certificat a probablement expiré.
-Pour vérifier sa date d'expiration, en tant que `root`:
+Pour vérifier sa date d'expiration, en tant que `root` tapez la commande
+```sh
+openssl x509 -in /etc/openvpn/keys/user.crt -enddate -noout
+```
+qui donne ...
 ```sh
-$ openssl x509 -in /etc/openvpn/keys/user.crt -notext -enddate
+notAfter=Nov 27 13:49:23 2020 GMT
-notAfter=Nov 12 13:42:43 2018 GMT
 ```
 La date affichée après le `noAfter` est la date d'expiration.
-Il y a trois procédures possibles pour renouveler le certificat.
+Il y a quatre méthodes possibles pour renouveler le certificat.
-## App Neutrinet
+## 1. App Neutrinet
 L'[[fr:cube:apps-neutrinet|application Neutrinet]] s'occupe de vérifier chaque nuit si les certificats doivent être renouvelés.
@@ Ligne 24: / Ligne 29: @@
 ### Installation
-Vérifiez que vous avez la liste des applications de Neutrinet:
+Vous pouvez soit installer l'application via la console d'admin, soit avec:
 ```sh
-yunohost app listlists
+yunohost app install neutrinet
 ```
+Un message en rouge s'affiche alors :
-Si la liste `neutrinet` n'apparaît pas, installez-la via:
+''DANGER! This app is known to be still experimental (if not explicitly not working)! You should probably NOT install it unless you know what you are doing. NO SUPPORT will be provided if this app doesn't work or breaks your system… If you are willing to take that risk anyway, type 'Yes, I understand':''
-```sh
-yunohost app fetchlist -n neutrinet -u https://neutrinet.be/apps.json
-```
-À partir de là, vous pouvez soit installer l'application via la console d'admin, soit avec:
+Soyez courageux mais raisonnable. ;-)
-```sh
-yunohost app install neutrinet
-```
 ### Mise à jour
@@ Ligne 47: / Ligne 47: @@
 ```
-## À partir d'une brique
+## 2. À partir d'une brique
-Si l'application Neutrinet est déjà installée, vous pouvez forcer la vérification des certificats:
+__Si l'application Neutrinet est déjà installée__, vous pouvez forcer la vérification des certificats:
 ```sh
 cd /opt/neutrinet/renew_cert
@@ Ligne 55: / Ligne 55: @@
 ```
-# Via le script renew_cert
+## 3. Via le script renew_cert
-Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur:
+Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur, **dans un dossier qui contient les fichiers du VPN** à savoir *(aut, client.crt, client.key, ca.crt **ou** credentials, user,crt, user.key et ca-server.crt)* :
 ```sh
 git clone https://git.domainepublic.net/Neutrinet/renew_cert
@@ Ligne 108: / Ligne 108: @@
 **Remarque**: Idéalement, assurez-vous d'être connecté à la brique internet en réseau local, c'est-à-dire via son adresse locale (192.168.1.x dans la plupart des cas).
 ```sh
-sudo systemctl restart openvpn`
+sudo systemctl restart openvpn
 ```
@@ Ligne 118: / Ligne 118: @@
 Normalement, l'interface `tun0` devra apparaître dans la liste.
-# Via le site user.neutrinet.be
+## 4. Via le site user.neutrinet.be
-Deuxième méthode (qui parfois demande la patience car actuellement user.neutrinet.be connait des ratés):
+Cette méthode demande parfois de la patience car user.neutrinet.be peut connaître des ratés.
-La seconde méthode consiste à se connecter en ssh au cubieboard, aller dans le dossier où se trouve la clef du VPN (a priori, il s'agit du fichier /etc/openvpn/neutrinet/client.key ou /etc/openvpn/client.key )
+Connectez-vous en ssh à votre brique internet, puis allez dans le dossier où se trouve la clé du VPN (il s'agit normalement du fichier `/etc/openvpn/keys/user.key`):
+```sh
+cd /etc/openvpn/keys
+```
-`cd /etc/openvpn/neutrinet`
+Créez une demande de signature de clés (CSR) pour cette clé:
+```sh
+openssl req -new -newkey rsa:4096 -nodes -keyout user.key
+```
-Puis de créer une demande de signature de clefs (CSR) pour cette clef
+Plusieurs questions vous seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché.
+Le plus important est le `Cname`, qui est le nom qui sera utilisé par Neutrinet pour savoir à qui appartient le certificat.
-`openssl req -new -sha1 -out client.csr -key user.key`
+**Remarque**: Il est recommandé de mettre votre adresse e-mail pour le Cname.
-Plusieurs questions te seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché. Le plus important est le "Cname", qui est le nom sous lequel tu vas apparaitre pour neutrinet.
+Cette commande crée un fichier `client.csr`, qui contient la demande de signature. Vous pouvez afficher son contenu avec:
+```sh
+cat client.csr
+```
-Cette commande créé un fichier client.csr, qui contient la demande de signature. Tu peux en voir le contenu en faisant
+Copiez ce contenu, et rendez-vous sur https://user.neutrinet.be
-`cat client.csr`
+{{ :fr:vpn:renew_cert-01-login.png?direct&600 |}}
-Copie ce contenu précieusement, et rends-toi sur https://user.neutrinet.be
+Connectez-vous
-Connecte-toi
+{{ :fr:vpn:renew_cert-02-dashboard.png?direct&600 |}}
-**image**
+Cliquez sur `Users`
-Clique sur users
+{{ :fr:vpn:renew_cert-03-users.png?direct&600 |}}
+Attendez que cela charge, et quand vous voyez votre nom, cliquez dessus
-Attends que cela charge, et quand tu vois ton nom, clique dessus, puis sur "View associated clients"
+{{ :fr:vpn:renew_cert-04-user.png?direct&600 |}}
+Cliquez sur `View associated clients`
-**image**
+{{ :fr:vpn:renew_cert-05-clients.png?direct&600 |}}
-Ensuite clique sur ton certificat (si tu en as plusieurs, il faut utiliser celui qui liste une IPv4 - 80.67.181.x), et choisi l'option "Renew certificate"
+Cliquez sur votre certificat (si vous en avez plusieurs, il faut utiliser celui avec une IPv4 - 80.67.181.x)
+{{ :fr:vpn:renew_cert-06-client.png?direct&600 |}}
-**image**
+Choisissez l'option `Renew certificate`
-Il va alors te présenter ton certificat actuel. si tu cliquer sur Rekey, tu auras la possibilité de coller le CSR (le fichier généré plus tôt, que tu as copié), puis de cliquer sur Rekey.
+{{ :fr:vpn:renew_cert-07-certificate.png?direct&600 |}}
-Une fois cette opération terminée, tu verras un bandeau comme ceci:
+Le certificat actuel s'affiche alors à l'écran. Cliquez sur `Rekey`, puis collez le contenu du CSR (le fichier que vous aviez copié plus tôt).
-**image**
+Cliquez sur le bouton `Rekey` pour confirmer.
-Tu pourras alors cliquer sur "View client details", puis sur Download config package, qui est un zip qui contient le fichier de certificat qu'il faudra remplacer dans, à priori, /etc/openvpn/neutrinet (voir plus haut, en fonction du dossier qui tu as décidé d'utiliser à la configuration du service).
+Une fois cette opération terminée, vous verrez le bandeau suivant:
+{{ :fr:vpn:renew_cert-08-rekey.png?direct&600 |}}
-Voilà, c'est tout!
+Vous pouvez alors cliquer sur `View client details`, puis sur `Download config package`.
-# Liens
+Cela va télécharger un fichier zip qui contient les fichiers de certificat. Dans le dossier `/etc/openvpn/keys` de votre brique internet, copiez le fichier `client.crt` vers `/etc/openvpn/keys/user.crt`.
-- https://github.com/Neutrinet/neutrinet_ynh
+Voilà, c'est tout!
-- https://github.com/neutrinet/renew_cert