Sertifikaadi kinnitamisega AnyConnectiga ühilduva VPN-serveri juurutamine opsüsteemis CentOS 7

AnyConnect on Cisco välja töötatud kaugjuurdepääsu lahendus. Paljud ettevõtted kasutavad AnyConnecti, mis on tuntud oma kaasaskantavuse ja stabiilsuse, eriti DTLS-i võime poolest. Kasutame avatud lähtekoodiga versiooni ocserv, mis ühildub protokolliga.

Samuti võtame kasutusele sertifikaadi kontrollimise. Server tuvastab kliendid, kontrollides, kas kliendi sertifikaadi on välja andnud konfigureeritud CA. See lihtsustab oluliselt klientide konfigureerimist, kuna peame importima ainult kliendi sertifikaadi (enamasti pkcs12 faili ( .pfxvõi .p12)) ja paroole pole vaja. See on ka turvalisem, kuna paroolid ei liigu Internetis ringi.

Alustame.

Eeltingimused

• Äsja loodud CentOS 7 server, millel on lubatud IPv6
• Töötav arvuti (võib olla server ise, kuigi aegunud (vt allpool)) vt märkust 1
• Mõned kliendid, millele on installitud AnyConnecti (või OpenConnecti) klienditarkvara, vaadake märkust 2

Märkused:

1. Kuigi serveris on võimalik (ja üsna mugav) kõike teha, seisneb juurutamise protsess allkirjastamiseks kasutatavate privaatvõtmete genereerimises ja turvalisuse huvides tuleks seda protsessi teha oma arvutis.

2. Litsentsiprobleemide tõttu ei paku ma linke klienditarkvara allalaadimiseks. Nende leidmine oma kliendi jaoks on siiski üsna lihtne. AnyConnect on rakenduste poes leiduv rakendus suurematel mobiiliplatvormidel (iOS, Android, BlackBerry OS (v10 või uuem), UWP) ja lihtne otsing toob need teieni. PC-platvormide jaoks pakub mõni guugeldamine teile sobiva tarkvara.

Serveripoolne tarkvara installimine

Vultri CentOS 7 masinad on konfigureeritud EPEL-i hoidlaga. Paigaldame lihtsalt ocservkoos yum:

yum update
yum install ocserv

Asjade toimimiseks vajame serveri sertifikaati. Kui teil on domeeninimi, on Let's Encrypt lihtsaim valik.

yum install certbot
certbot certonly

ACME CA-ga autentimiseks valige "ajutise veebiserveri keerutamine". Kui teil domeeni pole, väljastatakse hiljem iseallkirjastatud sertifikaat.

Sertifikaadi genereerimine ja konfigureerimine

Traditsioonilist PKI-d on üsna ebamugav kasutada, seega kasutame easyrsaOpenVPN-i projekti utiliiti. Installige oma töömasinasse git ja kloonige hoidla:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Ehitame CA ja väljastame sertifikaate. Tehke järgmist ja kirjutage kuhugi määratud PEM-parool:

./easyrsa init-pki
./easyrsa build-ca

Hoidke pki/private/ca.keykuskil turvalises kohas. Lekkimine muudab kogu teie infrastruktuuri kasutuks.

Kui otsustate kasutada iseallkirjastatud serverisertifikaati, tehke järgmist.

./easyrsa gen-req server

Ja sisestage üldnimena oma serveri IP-aadress.

./easyrsa sign-req server server

See allkirjastab serveri sertifikaadi. Transfer pki/issued/server.crtja pki/ca.crtet /etc/ssl/certsja pki/private/server.keyet /etc/ssl/privateteie server.

Järgmisena loome kliendi sertifikaadid. Tehke järgmist.

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Valige kliendi nimi ja täitke see üldnime väljale. Pea meeles parool!

Järgmisena ekspordime sertifikaadi pkcs12-vormingus mobiilplatvormidel kasutamiseks. Tee:

./easyrsa export-p12 client_01

Valige ekspordiparool, mis teil palutakse sisestada sertifikaadi importimisel telefoni. Teisaldage pki/private/client_01.p12oma telefoni ja importige see.

Serveri seadistamine

Täidame sertifikaadi andmed.

vim /etc/ocserv/ocserv.conf

Leidke server-certjaotis ja täitke järgmine:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Pange tähele, et kui kasutate iseallkirjastatud sertifikaati, ärge unustage esmalt eemaldada parool, openssl rsa -in server.key -out server-new.keyet saaksite ocservkasutada privaatvõtit.

Leidke authjaotis. Luba see rida:

auth = "certificate"

Ja kommenteerige kõiki teisi authridu.

Tühista selle rea kommentaarid:

cert-user-oid = 2.5.4.3

Otsige üles ipv6-networkja täitke oma serveri ipv6-plokk. See on blokk, millest server annab rendilepinguid.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Määrake DNS-serverid.

dns = 8.8.8.8
dns = 8.8.4.4

Lubage ühilduvus Cisco klientidega.

cisco-client-compat = true

Avage väravad seatud tcp-portja udp-portning võimaldavad teesklus nii IPv4 ja IPv6 firewalld.

Käivitage server.

systemctl enable ocserv
systemctl start ocserv

Testi aeg!

Server on edukalt konfigureeritud. Looge oma kliendis ühendus ja looge ühendus. Kui asjad lähevad valesti, kasutage silumiseks seda käsku:

journalctl -fu ocserv

Samuti peaks IPv6 töötama kliendi poolel, kui teie klienditarkvara toetab ipv6, isegi kui teie kliendi võrk ei anna teile aadressi. Testimiseks minge sellele saidile .

Kõik seatud! Nautige oma uut AnyConnectiga ühilduvat VPN-serverit!