Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:vpn:renew-cert [2019/12/15 10:23] – hgo
+++ fr:vpn:renew-cert [2024/06/19 08:25] – mise à jour renew cert hgo
@@ Ligne 1: / Ligne 1: @@
-# Renouvellement des certificats VPN
+# Renouvellement du certificat VPN
-FIXME refaire les images
 Si vous avez des problèmes pour vous connecter au VPN et que vous voyez l'erreur:
-```
+```sh
 Certificate has key usage  00a0, expects 00a0
 ```
 dans le fichier `/var/log/openvpn-client.log`, c'est que votre certificat a probablement expiré.
-Pour vérifier sa date d'expiration, en tant que `root`:
+Pour vérifier sa date d'expiration, en tant que `root` tapez la commande
+```sh
+openssl x509 -in /etc/openvpn/keys/user.crt -enddate -noout
+```
+qui donne ...
 ```sh
-$ openssl x509 -in /etc/openvpn/keys/user.crt -notext -enddate
+notAfter=Nov 27 13:49:23 2020 GMT
-notAfter=Nov 12 13:42:43 2018 GMT
 ```
 La date affichée après le `noAfter` est la date d'expiration.
-Il y a trois procédures possibles pour renouveler le certificat.
+Il y a quatre méthodes possibles pour renouveler le certificat.
-## App Neutrinet
+## 1. App Neutrinet
 L'[[fr:cube:apps-neutrinet|application Neutrinet]] s'occupe de vérifier chaque nuit si les certificats doivent être renouvelés.
@@ Ligne 24: / Ligne 29: @@
 ### Installation
-Vérifiez que vous avez la liste des applications de Neutrinet:
+Vous pouvez soit installer l'application via la console d'admin, soit avec:
-```sh
-yunohost app listlists
-```
-Si la liste `neutrinet` n'apparaît pas, installez-la via:
-```sh
-yunohost app fetchlist -n neutrinet -u https://neutrinet.be/apps.json
-```
-À partir de là, vous pouvez soit installer l'application via la console d'admin, soit avec:
 ```sh
 yunohost app install neutrinet
@@ Ligne 43: / Ligne 38: @@
 Pour mettre à jour cette application:
 ```sh
-yunohost tools update --apps
+yunohost tools update apps
-yunohost tools upgrade --apps neutrinet
+yunohost app upgrade neutrinet
 ```
-## À partir d'une brique
+## 2. À partir d'une brique
-Si l'application Neutrinet est déjà installée, vous pouvez forcer la vérification des certificats:
+__Si l'application Neutrinet est déjà installée__, vous pouvez forcer la vérification des certificats:
 ```sh
-cd /opt/neutrinet/renew_cert
+/opt/neutrinet/renew_cert/renew_cert.sh
-./renew_cert_cron.sh -v
 ```
-# Via le script renew_cert
+## 3. Via le script renew_cert
-Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur:
+Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur, **dans un dossier qui contient les fichiers du VPN** à savoir *(auth, client.crt, client.key, ca.crt **ou** credentials, user,crt, user.key et ca-server.crt)* :
 ```sh
 git clone https://git.domainepublic.net/Neutrinet/renew_cert
@@ Ligne 89: / Ligne 83: @@
 Il vous sera demandé votre mot de passe pour se connecter au VPN de Neutrinet.
-Si tout se passe bien, un sous-dosser nommé `certs_YYYY-MM-DD_HH:MM:SS` (remplacer les lettres en majuscules par la date et l'heure d'exécution du script) est créé, lequel reprend tous les fichiers de configuration nécessaires au client OpenVPN.
+Si tout se passe bien, un sous-dossier nommé `certs_YYYY-MM-DD_HH:MM:SS` (remplacer les lettres en majuscules par la date et l'heure d'exécution du script) est créé, lequel reprend tous les fichiers de configuration nécessaires au client OpenVPN.
-Les fichiers qui nous intéressent sont `client.crt` et `client.key`, c'est-à-dire la clé publique et la clé privée du certificat.
+Les fichiers qui nous intéressent sont `client.crt`, `client.key` et `ca.crt`, c'est-à-dire la clé publique et la clé privée du certificat client, ainsi que la clé publique du certificat serveur.
 Ces fichiers doivent remplacer ceux situés dans `/etc/openvpn` (cela peut changer en fonction de l'OS).
@@ Ligne 100: / Ligne 94: @@
 sudo mv /etc/openvpn/keys/user.crt{,.backup}
 sudo mv /etc/openvpn/keys/user.key{,.backup}
+sudo mv /etc/openvpn/keys/ca-server.crt{,.backup}
 sudo mv client.crt /etc/openvpn/keys/user.crt
 sudo mv client.key /etc/openvpn/keys/user.key
+sudo mv ca.crt /etc/openvpn/keys/ca-server.crt
 ```
@@ Ligne 108: / Ligne 104: @@
 **Remarque**: Idéalement, assurez-vous d'être connecté à la brique internet en réseau local, c'est-à-dire via son adresse locale (192.168.1.x dans la plupart des cas).
 ```sh
-sudo systemctl restart openvpn`
+sudo systemctl restart ynh-vpnclient
 ```
-Pour vérifier que vous êtes connecté derrière le VPN, vous pouvez lancer la commande:
+Vous pouvez vérifier que tout est correct dans les logs du client VPN:
-```sh
+```
-ip addr
+tail /var/log/openvpn-client.log /var/log/ynh-vpnclient.log
 ```
-Normalement, l'interface `tun0` devra apparaître dans la liste.
+## 4. Via le site user.neutrinet.be
-# Via le site user.neutrinet.be
+Cette méthode demande parfois de la patience car user.neutrinet.be peut connaître des ratés.
-Deuxième méthode (qui parfois demande la patience car actuellement user.neutrinet.be connait des ratés):
+Connectez-vous en ssh à votre brique internet, puis allez dans le dossier où se trouve la clé du VPN (il s'agit normalement du fichier `/etc/openvpn/keys/user.key`):
+```sh
+cd /etc/openvpn/keys
+```
-La seconde méthode consiste à se connecter en ssh au cubieboard, aller dans le dossier où se trouve la clef du VPN (a priori, il s'agit du fichier /etc/openvpn/neutrinet/client.key ou /etc/openvpn/client.key )
+Créez une demande de signature de clés (CSR) pour cette clé:
+```sh
+openssl req -out client.csr -new -newkey rsa:4096 -nodes -keyout user.key
+```
-`cd /etc/openvpn/neutrinet`
+Plusieurs questions vous seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché.
+Le plus important est le `Cname`, qui est le nom qui sera utilisé par Neutrinet pour savoir à qui appartient le certificat.
-Puis de créer une demande de signature de clefs (CSR) pour cette clef
+**Remarque**: Il est recommandé de mettre votre adresse e-mail pour le Cname.
-`openssl req -new -sha1 -out client.csr -key user.key`
+Cette commande crée un fichier `client.csr`, qui contient la demande de signature. Vous pouvez afficher son contenu avec:
+```sh
+cat client.csr
+```
-Plusieurs questions te seront posées, comme le code pays (BE), la région (Bruxelles, ...), la Société etc... auquel le certificat est attaché. Le plus important est le "Cname", qui est le nom sous lequel tu vas apparaitre pour neutrinet.
+Copiez ce contenu, et rendez-vous sur https://user.neutrinet.be
-Cette commande créé un fichier client.csr, qui contient la demande de signature. Tu peux en voir le contenu en faisant
+{{ :fr:vpn:renew_cert-01-login.png?direct&600 |}}
-`cat client.csr`
+Connectez-vous
-Copie ce contenu précieusement, et rends-toi sur https://user.neutrinet.be
+{{ :fr:vpn:renew_cert-02-dashboard.png?direct&600 |}}
-Connecte-toi
+Cliquez sur `Users`
-**image**
+{{ :fr:vpn:renew_cert-03-users.png?direct&600 |}}
-Clique sur users
+Attendez que cela charge, et quand vous voyez votre nom, cliquez dessus
+{{ :fr:vpn:renew_cert-04-user.png?direct&600 |}}
-Attends que cela charge, et quand tu vois ton nom, clique dessus, puis sur "View associated clients"
+Cliquez sur `View associated clients`
+{{ :fr:vpn:renew_cert-05-clients.png?direct&600 |}}
-**image**
+Cliquez sur votre certificat (si vous en avez plusieurs, il faut utiliser celui avec une IPv4 - 80.67.181.x)
-Ensuite clique sur ton certificat (si tu en as plusieurs, il faut utiliser celui qui liste une IPv4 - 80.67.181.x), et choisi l'option "Renew certificate"
+{{ :fr:vpn:renew_cert-06-client.png?direct&600 |}}
+Choisissez l'option `Renew certificate`
-**image**
+{{ :fr:vpn:renew_cert-07-certificate.png?direct&600 |}}
-Il va alors te présenter ton certificat actuel. si tu cliquer sur Rekey, tu auras la possibilité de coller le CSR (le fichier généré plus tôt, que tu as copié), puis de cliquer sur Rekey.
+Le certificat actuel s'affiche alors à l'écran. Cliquez sur `Rekey`, puis collez le contenu du CSR (le fichier que vous aviez copié plus tôt).
-Une fois cette opération terminée, tu verras un bandeau comme ceci:
+Cliquez sur le bouton `Rekey` pour confirmer.
-**image**
+Une fois cette opération terminée, vous verrez le bandeau suivant:
-Tu pourras alors cliquer sur "View client details", puis sur Download config package, qui est un zip qui contient le fichier de certificat qu'il faudra remplacer dans, à priori, /etc/openvpn/neutrinet (voir plus haut, en fonction du dossier qui tu as décidé d'utiliser à la configuration du service).
+{{ :fr:vpn:renew_cert-08-rekey.png?direct&600 |}}
+Vous pouvez alors cliquer sur `View client details`, puis sur `Download config package`.
+Cela va télécharger un fichier zip qui contient les fichiers de certificat. Dans le dossier `/etc/openvpn/keys` de votre brique internet, copiez le fichier `client.crt` vers `/etc/openvpn/keys/user.crt`.
 Voilà, c'est tout!
-# Liens
-- https://github.com/Neutrinet/neutrinet_ynh
-- https://github.com/neutrinet/renew_cert