Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:vpn:renew-cert [2020/11/29 18:15] – [Renouvellement du certificat VPN] harpo-bzh
+++ fr:vpn:renew-cert [2024/06/19 08:32] (Version actuelle) – [1. App Neutrinet] hgo
@@ Ligne 11: / Ligne 11: @@
 ```sh
-openssl x509 -in /etc/openvpn/keys/user.crt -enddate
+openssl x509 -in /etc/openvpn/keys/user.crt -enddate -noout
 ```
@@ Ligne 18: / Ligne 18: @@
 ```sh
 notAfter=Nov 27 13:49:23 2020 GMT
------BEGIN CERTIFICATE-----
-....
 ```
 La date affichée après le `noAfter` est la date d'expiration.
-```sh
-$ openssl x509 -in /etc/openvpn/keys/user.crt -notext -enddate
-notAfter=Nov 12 13:42:43 2018 GMT
-```
 Il y a quatre méthodes possibles pour renouveler le certificat.
+## 1. App Neutrinet
-## App Neutrinet
+L'[[https://apps.yunohost.org/app/neutrinet|application Neutrinet]] s'occupe de vérifier chaque nuit si les certificats doivent être renouvelés.
-L'[[fr:cube:apps-neutrinet|application Neutrinet]] s'occupe de vérifier chaque nuit si les certificats doivent être renouvelés.
 ### Installation
-Vérifiez que vous avez la liste des applications de Neutrinet:
+Vous pouvez soit installer l'application via la console d'admin, soit avec:
-```sh
-yunohost app list
-```
-Si la liste `neutrinet` n'apparaît pas, installez-la via:
-```sh
-yunohost app fetchlist -n neutrinet -u https://neutrinet.be/apps.json
-```
-À partir de là, vous pouvez soit installer l'application via la console d'admin, soit avec:
 ```sh
 yunohost app install neutrinet
@@ Ligne 58: / Ligne 37: @@
 Pour mettre à jour cette application:
 ```sh
-yunohost tools update --apps
+yunohost tools update apps
-yunohost tools upgrade --apps neutrinet
+yunohost app upgrade neutrinet
 ```
-## À partir d'une brique
+## 2. À partir d'une brique
-Si l'application Neutrinet est déjà installée, vous pouvez forcer la vérification des certificats:
+__Si l'application Neutrinet est déjà installée__, vous pouvez forcer la vérification des certificats:
 ```sh
-cd /opt/neutrinet/renew_cert
+/opt/neutrinet/renew_cert/renew_cert.sh
-./renew_cert_cron.sh -v
 ```
-## Via le script renew_cert
+## 3. Via le script renew_cert
-Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur:
+Clônez le dépôt git suivant, sur votre brique internet ou sur votre ordinateur, **dans un dossier qui contient les fichiers du VPN** à savoir *(auth, client.crt, client.key, ca.crt **ou** credentials, user,crt, user.key et ca-server.crt)* :
 ```sh
 git clone https://git.domainepublic.net/Neutrinet/renew_cert
@@ Ligne 104: / Ligne 82: @@
 Il vous sera demandé votre mot de passe pour se connecter au VPN de Neutrinet.
-Si tout se passe bien, un sous-dosser nommé `certs_YYYY-MM-DD_HH:MM:SS` (remplacer les lettres en majuscules par la date et l'heure d'exécution du script) est créé, lequel reprend tous les fichiers de configuration nécessaires au client OpenVPN.
+Si tout se passe bien, un sous-dossier nommé `certs_YYYY-MM-DD_HH:MM:SS` (remplacer les lettres en majuscules par la date et l'heure d'exécution du script) est créé, lequel reprend tous les fichiers de configuration nécessaires au client OpenVPN.
-Les fichiers qui nous intéressent sont `client.crt` et `client.key`, c'est-à-dire la clé publique et la clé privée du certificat.
+Les fichiers qui nous intéressent sont `client.crt`, `client.key` et `ca.crt`, c'est-à-dire la clé publique et la clé privée du certificat client, ainsi que la clé publique du certificat serveur.
 Ces fichiers doivent remplacer ceux situés dans `/etc/openvpn` (cela peut changer en fonction de l'OS).
@@ Ligne 115: / Ligne 93: @@
 sudo mv /etc/openvpn/keys/user.crt{,.backup}
 sudo mv /etc/openvpn/keys/user.key{,.backup}
+sudo mv /etc/openvpn/keys/ca-server.crt{,.backup}
 sudo mv client.crt /etc/openvpn/keys/user.crt
 sudo mv client.key /etc/openvpn/keys/user.key
+sudo mv ca.crt /etc/openvpn/keys/ca-server.crt
 ```
@@ Ligne 123: / Ligne 103: @@
 **Remarque**: Idéalement, assurez-vous d'être connecté à la brique internet en réseau local, c'est-à-dire via son adresse locale (192.168.1.x dans la plupart des cas).
 ```sh
-sudo systemctl restart openvpn`
+sudo systemctl restart ynh-vpnclient
 ```
-Pour vérifier que vous êtes connecté derrière le VPN, vous pouvez lancer la commande:
+Vous pouvez vérifier que tout est correct dans les logs du client VPN:
-```sh
+```
-ip addr
+tail /var/log/openvpn-client.log /var/log/ynh-vpnclient.log
 ```
-Normalement, l'interface `tun0` devra apparaître dans la liste.
+## 4. Via le site user.neutrinet.be
-## Via le site user.neutrinet.be
 Cette méthode demande parfois de la patience car user.neutrinet.be peut connaître des ratés.
@@ Ligne 144: / Ligne 122: @@
 Créez une demande de signature de clés (CSR) pour cette clé:
 ```sh
-openssl req -new -newkey rsa:4096 -nodes -keyout user.key
+openssl req -out client.csr -new -newkey rsa:4096 -nodes -keyout user.key
 ```