نشر خادم VPN متوافق مع AnyConnect مع التحقق من الشهادة على CentOS 7

• المتطلبات الأساسية
• تثبيت البرامج من جانب الخادم
• تكوين وتكوين الشهادة
• تكوين الخادم
• وقت الاختبار!

برنامج AnyConnect هو حل وصول بعيد تم تطويره بواسطة Cisco. تشتهر العديد من الشركات بقدرتها على النقل والاستقرار ، خاصةً قدراتها على DTLS. سنستخدم إصدارًا مفتوح المصدر ocservمتوافق مع البروتوكول.

سنقوم أيضًا بنشر التحقق من الشهادة. سيحدد الخادم العملاء بالتحقق من أنه إذا تم إصدار شهادة العميل من قبل المرجع المصدق المكون. يؤدي ذلك إلى تبسيط التكوين بشكل كبير على العملاء حيث سنحتاج فقط إلى استيراد الشهادة على العميل (في معظم الأحيان ملف pkcs12 ( .pfxأو .p12)) ولا توجد كلمات مرور مطلوبة. يعد هذا أيضًا أكثر أمانًا نظرًا لعدم وجود كلمات مرور تنتقل عبر الإنترنت.

لنبدأ.

المتطلبات الأساسية

• خادم CentOS 7 حديث الإنشاء مع تمكين IPv6
• جهاز كمبيوتر يعمل (يمكن أن يكون الخادم نفسه ؛ تم إيقافه بالرغم من ذلك (انظر أدناه)) انظر الملاحظة 1
• بعض العملاء الذين تم تثبيت برنامج عميل AnyConnect (أو OpenConnect) راجع الملاحظة 2

ملاحظات:

1. على الرغم من أنه من الممكن (والملائم إلى حد ما) القيام بكل شيء على الخادم ، فإن عملية النشر تتكون من توليد مفاتيح خاصة تستخدم للتوقيع وبسبب مخاوف أمنية ، يجب أن تتم هذه العملية على جهاز الكمبيوتر الخاص بك.

2. نظرًا لمشكلات الترخيص ، لن أقوم بتوفير روابط لتنزيل برنامج العميل. يعد العثور عليها لعميلك أمرًا سهلاً للغاية. AnyConnect هو تطبيق موجود في متاجر التطبيقات على منصات الهواتف المحمولة الرئيسية (iOS و Android و BlackBerry OS (الإصدار 10 أو أعلى) و UWP) على التوالي وسيقدمها البحث البسيط إليك. بالنسبة لمنصات الكمبيوتر ، ستقدم لك بعض Googling البرنامج المناسب.

تثبيت البرامج من جانب الخادم

يتم تكوين جهاز CentOS 7 من فولتر مع مستودع EPEL. نقوم فقط بالتثبيت ocservمع yum:

yum update
yum install ocserv

سنحتاج إلى شهادة خادم لكي تعمل الأشياء. إذا كان لديك اسم مجال ، فإن Let's Encrypt سيكون الخيار الأسهل.

yum install certbot
certbot certonly

اختر "تدوير خادم ويب مؤقت" للمصادقة مع ACME CA. إذا لم يكن لديك نطاق ، فسيتم إصدار شهادة موقعة ذاتيًا في وقت لاحق.

تكوين وتكوين الشهادة

يعتبر PKI التقليدي غير مريح إلى حد ما للاستخدام ، لذلك سنستخدم easyrsaالأداة المساعدة من مشروع OpenVPN. تثبيت git على جهاز العمل الخاص بك واستنساخ المستودع:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

سنقوم ببناء المرجع المصدق وإصدار الشهادات. قم بما يلي واكتب عبارة مرور PEM التي قمت بتعيينها في مكان ما:

./easyrsa init-pki
./easyrsa build-ca

احتفظ pki/private/ca.keyبمكان آمن. تسرب من شأنه أن يجعل البنية التحتية بأكملها عديمة الفائدة.

إذا اخترت استخدام شهادة خادم موقعة ذاتيًا ، فقم بما يلي:

./easyrsa gen-req server

وأدخل عنوان IP لخادمك كاسم شائع.

./easyrsa sign-req server server

سيؤدي هذا إلى توقيع شهادة للخادم. نقل pki/issued/server.crtو pki/ca.crtل /etc/ssl/certsو pki/private/server.keyل /etc/ssl/privateعلى الخادم الخاص بك.

بعد ذلك سننشئ شهادات العميل. قم بما يلي:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

اختر اسم العميل واملأه في حقل الاسم الشائع. تذكر عبارة المرور!

بعد ذلك ، سنقوم بتصدير الشهادة بتنسيق pkcs12 للاستخدام على الأنظمة الأساسية للجوّال. فعل:

./easyrsa export-p12 client_01

اختر كلمة مرور للتصدير ستتم مطالبتك بإدخالها عند استيراد الشهادة على الهاتف. نقل pki/private/client_01.p12إلى هاتفك واستيراده.

تكوين الخادم

سنقوم بملء معلومات الشهادة.

vim /etc/ocserv/ocserv.conf

حدد مكان server-certالقسم واملأ ما يلي:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

لاحظ أنه إذا كنت تستخدم شهادة موقعة ذاتيًا ، فتذكر إزالة عبارة المرور أولاً openssl rsa -in server.key -out server-new.keyحتى ocservتتمكن من استخدام المفتاح الخاص.

حدد authالقسم. تمكين هذا الخط:

auth = "certificate"

وعلق على جميع authالأسطر الأخرى .

uncomment هذا الخط:

cert-user-oid = 2.5.4.3

حدد موقع ipv6-networkوقم بتعبئة كتلة ipv6 لخادمك. هذه هي الكتلة التي سيعطي الخادم عقود إيجار منها.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

قم بتعيين خوادم DNS.

dns = 8.8.8.8
dns = 8.8.4.4

تمكين التوافق مع عملاء Cisco.

cisco-client-compat = true

فتح المنافذ تقوم بتعيينها في tcp-portو udp-portوتمكين التنكر لكل من IPv4 و IPv6 في firewalld.

قم بتشغيل الخادم.

systemctl enable ocserv
systemctl start ocserv

وقت الاختبار!

تم تكوين الخادم بنجاح. إنشاء اتصال في العميل الخاص بك والاتصال. إذا سارت الأمور بشكل خاطئ ، استخدم هذا الأمر لتصحيح:

journalctl -fu ocserv

أيضًا ، يجب أن يعمل IPv6 على جانب العميل إذا كان برنامج العميل الخاص بك يدعم IPv6 حتى إذا لم توفر لك شبكة العميل عنوانًا. انتقل إلى هذا الموقع للاختبار.

كل شيء جاهز! استمتع بخادم VPN الجديد المتوافق مع AnyConnect!