CentOS 7での証明書検証を使用したAnyConnect互換VPNサーバーの導入

• 前提条件
• サーバー側ソフトウェアのインストール
• 証明書の生成と構成
• サーバーの構成
• テストタイム！

AnyConnectは、シスコが開発したリモートアクセスソリューションです。移植性と安定性、特にDTLS機能で有名なAnyConnectは、多くの企業で使用されています。ocservプロトコルと互換性のあるオープンソースバージョンを使用します。

証明書の検証も展開します。サーバーは、構成されたCAによってクライアントの証明書が発行されているかどうかをチェックすることにより、クライアントを識別します。クライアントに証明書をインポートするだけでよく（ほとんどの.pfx場合pkcs12ファイル（または.p12））、パスワードは不要なので、クライアントの構成が大幅に簡素化されます。インターネット上を移動するパスワードがないため、これもより安全です。

はじめましょう。

前提条件

• IPv6対応の新しく作成されたCentOS 7サーバー
• 稼働中のコンピューター（サーバー自体にすることもできますが、非推奨です（下記を参照））注1を参照してください
• AnyConnect（またはOpenConnect）クライアントソフトウェアがインストールされている一部のクライアントは、注2を参照

ノート：

1. サーバー上ですべてを実行することは可能です（そして便利です）が、展開プロセスは署名に使用される秘密キーの生成で構成されます。セキュリティ上の理由から、このプロセスは自分のコンピューターで実行する必要があります。

2. ライセンスの問題により、クライアントソフトウェアをダウンロードするためのリンクは提供しません。ただし、クライアントのためにそれらを見つけるのは簡単です。AnyConnectは、主要なモバイルプラットフォーム（iOS、Android、BlackBerry OS（v10以上）、UWP）のApp Storeにあるアプリであり、簡単な検索でそれらを入手できます。PCプラットフォームの場合、一部のGooglingが適切なソフトウェアを提示します。

サーバー側ソフトウェアのインストール

VultrのCentOS 7マシンは、EPELリポジトリで構成されています。私達はちょうどインストールocservしてyum：

yum update
yum install ocserv

機能させるにはサーバー証明書が必要です。ドメイン名を持っている場合は、Let's Encryptが最も簡単な選択です。

yum install certbot
certbot certonly

ACME CAで認証するには、「一時的なWebサーバーをスピンアップ」を選択します。ドメインがない場合は、後で自己署名証明書が発行されます。

証明書の生成と構成

従来のPKIは使いeasyrsaにくいので、OpenVPNプロジェクトのユーティリティを使用します。作業マシンにgitをインストールし、リポジトリのクローンを作成します。

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

CAを構築し、証明書を発行します。次のようにして、どこかに設定したPEMパスフレーズを書きます。

./easyrsa init-pki
./easyrsa build-ca

pki/private/ca.key安全な場所に保管してください。漏洩すると、インフラストラクチャ全体が役に立たなくなります。

自己署名サーバー証明書を使用する場合は、以下を実行します。

./easyrsa gen-req server

そして、サーバーのIPアドレスを共通名として入力します。

./easyrsa sign-req server server

これはサーバーの証明書に署名します。転送pki/issued/server.crtとpki/ca.crtする/etc/ssl/certsとpki/private/server.keyに/etc/ssl/private、サーバーに。

次に、クライアント証明書を作成します。以下をせよ：

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

クライアントの名前を選択し、それを共通名フィールドに入力します。パスフレーズを覚えておいてください！

次に、モバイルプラットフォームで使用するために証明書をpkcs12形式でエクスポートします。行う：

./easyrsa export-p12 client_01

電話機に証明書をインポートするときに入力するように求められるエクスポートパスワードを選択します。pki/private/client_01.p12スマートフォンに転送してインポートします。

サーバーの構成

証明書情報を記入します。

vim /etc/ocserv/ocserv.conf

server-certセクションを見つけて、以下を入力してください：

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

あなたは自己署名証明書を使用している場合、最初でパスフレーズを削除することを忘れないことに注意してくださいopenssl rsa -in server.key -out server-new.keyそれはのでocserv、秘密鍵を使用することができます。

authセクションを探します。この行を有効にします。

auth = "certificate"

そして、他のすべてのauth行をコメント化します。

この行のコメントを外します：

cert-user-oid = 2.5.4.3

ipv6-networkサーバーのipv6ブロックを見つけて入力します。これは、サーバーがリースを提供するブロックです。

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

DNSサーバーを設定します。

dns = 8.8.8.8
dns = 8.8.4.4

シスコクライアントとの互換性を有効にします。

cisco-client-compat = true

あなたが設定されたポートを開きtcp-portとudp-portし、firewalldでIPv4とIPv6の両方のためのマスカレードを有効にします。

サーバーを起動します。

systemctl enable ocserv
systemctl start ocserv

テストタイム！

サーバーは正常に構成されました。クライアントで接続を作成して接続します。問題が発生した場合は、次のコマンドを使用してデバッグします。

journalctl -fu ocserv

また、クライアントのネットワークがアドレスを提供していなくても、クライアントソフトウェアがipv6をサポートしている場合、IPv6はクライアント側で機能するはずです。移動し、このサイトのテストへ。

準備完了！新しいAnyConnect互換VPNサーバーをお楽しみください！