Line 183: |
Line 183: |
| Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki. | | Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki. |
| | | |
− | === Client Linux Debian Gnome=== | + | === Client Linux Debian XFCE=== |
| | | |
| Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation. | | Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation. |
Line 209: |
Line 209: |
| la clef privée de l’utilisateur, en général user-key.pem | | la clef privée de l’utilisateur, en général user-key.pem |
| une clef statique prépartagée, en général takey.pem | | une clef statique prépartagée, en général takey.pem |
| + | |
| + | Pour ce faire, toujours dans le gestionnaire du serveur, dans Sécurité / Gestion des certificats, dans le Menu de gestion des certificats, cliquer sur la ligne « Manage certificate ». |
| + | |
| + | Une nouvelle page s'ouvre avec un tableau de tous les certificats. Repérer le certificat et cliquer en bout de ligne sur l'icône de téléchargement. |
| + | |
| + | Une nouvelle page s'ouvre avec, à gauche une liste déroulante des différents fichiers du certificat : |
| + | # PKCS12 Bundle ; |
| + | # PEM certificate qui correspond au certificat en lui-même (environ 1,9 kio en 2048 bits) ; |
| + | # PEM key qui est la clé privé du certificat (environ 1,7 kio en 2048 bits) ; |
| + | # PEM Bundle |
| + | # PEM Bundle w/Root qui est le certificat racine ou CA (environ 5,4 kio en 2048 bits). |
| + | |
| + | Attention, quand vous allez demander le téléchargement des fichiers 2, 3 et 5, les fichiers 2 et 5 vont être téléchargés sous le même nom avec l'extension .pem. Renommer rapidement le n°2 en *-cert.pem et le n°5 en *-CA.pem pour éviter toute confusion. |
| + | |
| + | La clé statique pré-partagée est à télécharger en revenant au tableau PHPki : « Menu de gestion des certificats », dans l'avant-dernière ligne. |
| + | |
| + | |
| | | |
| Mettre ces 4 certificats sur une clé USB, par exemple, pour pouvoir les installer sur la machine cliente. | | Mettre ces 4 certificats sur une clé USB, par exemple, pour pouvoir les installer sur la machine cliente. |
| | | |
| La suite en image… | | La suite en image… |
| + | ====Debian Buster (v.10) XFCE==== |
| + | Le paquet Network Manager doit être installé. |
| + | Cliquer droit sur l'icône de la connexion en cours. Cela ouvre une fenêtre dont la 4e ligne s’appelle « Modifier les connexions ». Cliquer droit sur cette ligne : la fenêtre suivante s'ouvre. |
| + | |
| + | [[File:Connexion_reseau_v10.png]] |
| + | |
| + | Activer la ligne VPN en la sélectionnant et cliquer sur le signe + en bas à gauche de la fenêtre. Une nouvelle fenêtre s'ouvre : |
| + | |
| + | [[File:Selectionner_type_v10.png]] |
| + | |
| + | La fenêtre déroulante du milieu est généralement indiquée Ethernet par défaut. Descendre dans la liste pour chercher les connexions VPN et choisir OpenVPN, puis cliquer sur le bouton « Créer... ». |
| + | 1. La nouvelle fenêtre suivante s'ouvre : |
| + | |
| + | [[File:Modif_connex_VPN1_v10.png]] |
| + | |
| + | - Donner un nom à votre connexion VPN dans le champ « Nom de la connexion » ; |
| + | |
| + | - champ « Passerelle », mettre l'adresse IP de votre serveur (ou son nom : mon_serveur.com) ; |
| + | |
| + | - choisir le type d'authentification à « Mot de passe avec certificats (TLS) » ; |
| + | |
| + | - entrer votre nom d'utilisateur et le mot de passe associé ; |
| + | |
| + | - en bout de cette ligne, cliquer sur la petite icône pour faire le choix approprié : en géréral « sauvegarder le mot d epasse pour cet utilisateur » mais en cas d'utilisation d'une authentificaton au serveur au moyen de LDAP/SSSL, il faut choisir « Enregistrer le mot de passe pour tous les utilisateurs » de l'ordinateur portable ; |
| + | |
| + | - télécharger les certificats : |
| + | |
| + | -- le certificat de l'utilisateur est de type : « utilisateur.pem » ; |
| + | |
| + | -- le certificat du CA est du type : « utilisateur-root.pem » ; |
| + | |
| + | -- la clé privée est du type : « utilisateur-key.pem ». |
| + | |
| + | Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « Le mot de passe n'est pas nécessaire » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton « Enregistrer ». |
| + | |
| + | Voir ci-dessous, un exemple de ce que cela doit donner : |
| + | |
| + | [[File:Modif_connex_VPN1_VPN_v10.png]] |
| + | |
| + | 2. Puis cliquer sur l'onglet « Général » et cocher la case « Tous les utilisateurs peuvent se connecter à ce réseau » comme sur l'image ci-dessous : |
| + | |
| + | [[File:Modif_connex_VPN1_General_v10.png]] |
| + | |
| + | 3. Si tout semble correct, appuyer sur le bouton « Enregistrer » en bas à droite pour enregistrer la configuration, puis retourner sur l'onglet VPN pour cliquer sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Général » et le configurer comme indiqué dans l'iamge ci-dessous : |
| + | |
| + | [[File:Modif_connex_VPN1_advanced_general_v10.png]] |
| + | |
| + | Puis cliquer sur l'onglet « Authentification TLS » et le configurer comme indiqué dans l'image ci-dessous, notamment, il faut installer la clé « takey.pem » |
| + | |
| + | [[File:Modif_connex_VPN1_advanced_Auth_v10.png]] |
| + | |
| + | Cliquer sur « Valider » pour enregistrer les configurations et fermer cette fenêtre. |
| + | |
| + | 4. On est revenu sur cette fenêtre ci-dessous sur laquelle on sélectionne l'onglet « Paramètres IPV4 » : |
| + | [[File:Modif_connex_VPN1_IPV4_v10.png]] |
| + | |
| + | 5. Puis on clique sur le bouton « Routes ». Une nouvelle fenêtre s'ouvre : |
| + | [[File:Modif_connex_VPN1_IPV4_routes_v10.png]] |
| + | |
| + | Cocher la case « Utiliser cette connexion uniquement pour les ressources de son réseau ». |
| + | Valider. Le fenêtre se ferme. |
| + | On revient à la fenêtre précédente. Enregistrer. C’EST FINI ! |
| + | |
| ====Debian Stretch (v.9) Gnome Classic==== | | ====Debian Stretch (v.9) Gnome Classic==== |
| '''''ATTENTION, CE PARAGRAPHE N'EST PAS FINI.''''' | | '''''ATTENTION, CE PARAGRAPHE N'EST PAS FINI.''''' |
Line 249: |
Line 329: |
| -- la clé privée est du type : «utilisateur-key.pem». | | -- la clé privée est du type : «utilisateur-key.pem». |
| | | |
− | Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option «The password is not required» sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton «Ajouter» ou Appliquer». | + | Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « The password is not required » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton «Ajouter» ou Appliquer». |
| | | |
| Voir ci-dessous, un exemple de ce que cela doit donner : | | Voir ci-dessous, un exemple de ce que cela doit donner : |
Line 255: |
Line 335: |
| [[File:VPN_config_1.png|600px]] | | [[File:VPN_config_1.png|600px]] |
| | | |
− | 4. Si tout semble correct, appuyer sur le bouton «Appliquer» en bas à droite pour enregistrer la configurtaion, puis sur le bouton «Advanced». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet «Authentification TLS» | + | 4. Si tout semble correct, appuyer sur le bouton «Appliquer» en bas à droite pour enregistrer la configuration, puis sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Authentification TLS » |
| | | |
| [[File:VPN_authentif_TLS.png|600]] | | [[File:VPN_authentif_TLS.png|600]] |