Home » » CentOS 7での証明書検証を使用したAnyConnect互換VPNサーバーの導入

CentOS 7での証明書検証を使用したAnyConnect互換VPNサーバーの導入

AnyConnectは、シスコが開発したリモートアクセスソリューションです。移植性と安定性、特にDTLS機能で有名なAnyConnectは、多くの企業で使用されています。ocservプロトコルと互換性のあるオープンソースバージョンを使用します。

証明書の検証も展開します。サーバーは、構成されたCAによってクライアントの証明書が発行されているかどうかをチェックすることにより、クライアントを識別します。クライアントに証明書をインポートするだけでよく(ほとんどの.pfx場合pkcs12ファイル(または.p12))、パスワードは不要なので、クライアントの構成が大幅に簡素化されます。インターネット上を移動するパスワードがないため、これもより安全です。

はじめましょう。

前提条件

  • IPv6対応の新しく作成されたCentOS 7サーバー
  • 稼働中のコンピューター(サーバー自体にすることもできますが、非推奨です(下記を参照))注1を参照してください
  • AnyConnect(またはOpenConnect)クライアントソフトウェアがインストールされている一部のクライアントは、注2を参照

ノート:

  1. サーバー上ですべてを実行することは可能です(そして便利です)が、展開プロセスは署名に使用される秘密キーの生成で構成されます。セキュリティ上の理由から、このプロセスは自分のコンピューターで実行する必要があります。

  2. ライセンスの問題により、クライアントソフトウェアをダウンロードするためのリンクは提供しません。ただし、クライアントのためにそれらを見つけるのは簡単です。AnyConnectは、主要なモバイルプラットフォーム(iOS、Android、BlackBerry OS(v10以上)、UWP)のApp Storeにあるアプリであり、簡単な検索でそれらを入手できます。PCプラットフォームの場合、一部のGooglingが適切なソフトウェアを提示します。

サーバー側ソフトウェアのインストール

VultrのCentOS 7マシンは、EPELリポジトリで構成されています。私達はちょうどインストールocservしてyum

yum update
yum install ocserv

機能させるにはサーバー証明書が必要です。ドメイン名を持っている場合は、Let's Encryptが最も簡単な選択です。

yum install certbot
certbot certonly

ACME CAで認証するには、「一時的なWebサーバーをスピンアップ」を選択します。ドメインがない場合は、後で自己署名証明書が発行されます。

証明書の生成と構成

従来のPKIは使いeasyrsaにくいので、OpenVPNプロジェクトのユーティリティを使用します。作業マシンにgitをインストールし、リポジトリのクローンを作成します。

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

CAを構築し、証明書を発行します。次のようにして、どこかに設定したPEMパスフレーズを書きます。

./easyrsa init-pki
./easyrsa build-ca

pki/private/ca.key安全な場所に保管してください。漏洩すると、インフラストラクチャ全体が役に立たなくなります。

自己署名サーバー証明書を使用する場合は、以下を実行します。

./easyrsa gen-req server

そして、サーバーのIPアドレスを共通名として入力します。

./easyrsa sign-req server server

これはサーバーの証明書に署名します。転送pki/issued/server.crtpki/ca.crtする/etc/ssl/certspki/private/server.key/etc/ssl/private、サーバーに。

次に、クライアント証明書を作成します。以下をせよ:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

クライアントの名前を選択し、それを共通名フィールドに入力します。パスフレーズを覚えておいてください!

次に、モバイルプラットフォームで使用するために証明書をpkcs12形式でエクスポートします。行う:

./easyrsa export-p12 client_01

電話機に証明書をインポートするときに入力するように求められるエクスポートパスワードを選択します。pki/private/client_01.p12スマートフォンに転送してインポートします。

サーバーの構成

証明書情報を記入します。 

vim /etc/ocserv/ocserv.conf

server-certセクションを見つけて、以下を入力してください:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

あなたは自己署名証明書を使用している場合、最初でパスフレーズを削除することを忘れないことに注意してくださいopenssl rsa -in server.key -out server-new.keyそれはのでocserv、秘密鍵を使用することができます。

authセクションを探します。この行を有効にします。

auth = "certificate"

そして、他のすべてのauth行をコメント化します。

この行のコメントを外します:

cert-user-oid = 2.5.4.3

ipv6-networkサーバーのipv6ブロックを見つけて入力します。これは、サーバーがリースを提供するブロックです。

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124

DNSサーバーを設定します。

dns = 8.8.8.8
dns = 8.8.4.4

シスコクライアントとの互換性を有効にします。

cisco-client-compat = true

あなたが設定されたポートを開きtcp-portudp-portし、firewalldでIPv4とIPv6の両方のためのマスカレードを有効にします。

サーバーを起動します。

systemctl enable ocserv
systemctl start ocserv

テストタイム!

サーバーは正常に構成されました。クライアントで接続を作成して接続します。問題が発生した場合は、次のコマンドを使用してデバッグします。

journalctl -fu ocserv

また、クライアントのネットワークがアドレスを提供していなくても、クライアントソフトウェアがipv6をサポートしている場合、IPv6はクライアント側で機能するはずです。移動し、このサイトのテストへ。

準備完了!新しいAnyConnect互換VPNサーバーをお楽しみください!


Tags: #CentOS #Linux Guides #Networking

Leave a Comment

CentOS 7サーバーにCyber​​Panelをインストールして構成する方法

CentOS 7サーバーにCyber​​Panelをインストールして構成する方法

別のシステムを使用していますか?はじめにCyber​​Panelは、オープンソースでありOpenLiteSpeedを使用する市場で最初のコントロールパネルの1つです。なんてこった

Debian、CentOS、およびFreeBSDでSudoを使用する方法

Debian、CentOS、およびFreeBSDでSudoを使用する方法

LinuxおよびUnixのシステム管理者の間では、sudoユーザーを使用してサーバーにアクセスし、コマンドをルートレベルで実行することは非常に一般的です。sudの使用

CentOS 7へのNetdataのインストール

CentOS 7へのNetdataのインストール

別のシステムを使用していますか?Netdataは、リアルタイムのシステムメトリックモニタリングの分野における新星です。同じ種類の他のツールと比較すると、Netdata:

CentOS 7にJust Cause 2(JC2-MP)サーバーをインストールする方法

CentOS 7にJust Cause 2(JC2-MP)サーバーをインストールする方法

このチュートリアルでは、Just Cause 2マルチプレイヤーサーバーのセットアップ方法をよく学びます。前提条件開始する前に、システムが完全に更新されていることを確認してください

CentOS 7にStarbound Serverをインストールする方法

CentOS 7にStarbound Serverをインストールする方法

別のシステムを使用していますか?このチュートリアルでは、CentOS 7でStarboundサーバーをセットアップする方法を説明します。前提条件このゲームを所有している必要があります。

CentOS 8、Ubuntu 18.04、Debian 10、Fedora 31にGolang 1.13をインストールする方法

CentOS 8、Ubuntu 18.04、Debian 10、Fedora 31にGolang 1.13をインストールする方法

Go(Golangとも呼ばれます)は、静的に型付けされ、コンパイルされた、Cのようなプログラミング言語で、Googleによって開発されました。シンプルさと多用途性により、b

CentOS 7にDjangoをインストールする方法

CentOS 7にDjangoをインストールする方法

Djangoは、Webアプリケーションを作成するための一般的なPythonフレームワークです。Djangoを使用すると、ホイールを再発明することなく、アプリケーションをより速く構築できます。あなたが望むなら

CentOS 7 LAMP VPSにTextPattern CMSをインストールする方法

CentOS 7 LAMP VPSにTextPattern CMSをインストールする方法

別のシステムを使用していますか?TextPattern CMS 4.6.2はシンプルで柔軟な無料のオープンソースコンテンツ管理システム(CMS)であり、Webデザイナーが

CentOS 7にElggをインストールする

CentOS 7にElggをインストールする

別のシステムを使用していますか?Elggはオープンソースのソーシャルネットワーキングエンジンであり、キャンパスのソーシャルネットワークや

CentOS 7にFroxlor Server Management Panelをインストールする方法

CentOS 7にFroxlor Server Management Panelをインストールする方法

Froxlorは、オープンソースの無料で軽量かつ強力なサーバー管理パネルであり、Webホスティングサービスの確立と管理に最適です。ティ

CentOS 7でMatrix SynapseとRiotを使用してチャットサーバーを作成する

CentOS 7でMatrix SynapseとRiotを使用してチャットサーバーを作成する

Matrixは、分散型リアルタイム通信用のオープンスタンダードの通信プロトコルです。マトリックスは、上記に分散されているホームサーバーとして実装されています

CentOS 7にVtiger CRM Open Source Editionをインストールする方法

CentOS 7にVtiger CRM Open Source Editionをインストールする方法

Vtiger CRMは、企業が売り上げを伸ばし、顧客サービスを提供し、利益を増やすのに役立つ人気の顧客関係管理アプリケーションです。私

CentOS 7にPufferPanel(無料のMinecraftコントロールパネル)をインストールする方法

CentOS 7にPufferPanel(無料のMinecraftコントロールパネル)をインストールする方法

はじめにこのチュートリアルでは、Vultr VPSにPufferPanelをインストールしてください。PufferPanelは、オープンソースで自由に使用できるコントロールパネルで、あなたを管理します

CentOS 7にApacheをインストールする方法

CentOS 7にApacheをインストールする方法

この記事では、CentOS 7サーバーにApache 2.4をインストールするプロセスの概要を説明します。前提条件:最新のCentOS 7サーバー。sudoユーザー。Ste

PHPを5から7に更新する方法(NGINX / Apache、CentOS 7)

PHPを5から7に更新する方法(NGINX / Apache、CentOS 7)

はじめにこのチュートリアルでは、NGINXまたはApacheを使用してPHP 5 *を7に更新する方法について説明します。前提条件始める前に、リポジトリを追加する必要があります

CentOS 7にMoinMoinをインストールする方法

CentOS 7にMoinMoinをインストールする方法

MoinMoinは、Pythonで書かれたオープンソースのファイルシステムベースのWikiエンジンです。今日、MoinMoinはオープンソースコミュニティで広く使用されています。多くのベンダー

CentOS 7にSonarQubeをインストールする方法

CentOS 7にSonarQubeをインストールする方法

別のシステムを使用していますか?SonarQubeは、品質システム開発のためのオープンソースツールです。Javaで書かれており、複数のデータベースをサポートしています。それは提供します

CentOS 7へのPritunlのインストール

CentOS 7へのPritunlのインストール

PritunlはOpenVPNのオープンソース管理インターフェイスです。プライベートネットワークが可能で、ネイティブIPv6サポートがあり、使用方法は比較的簡単です。ター

OSの選択:CentOS、Ubuntu、Debian、FreeBSD、CoreOS、またはWindows Server

OSの選択:CentOS、Ubuntu、Debian、FreeBSD、CoreOS、またはWindows Server

この記事では、Vultrでテンプレートとして提供されるサーバーオペレーティングシステムの概要を説明します。CentOS CentOSはRHEL(Re

CentOS 7にphpPgAdminをインストールする

CentOS 7にphpPgAdminをインストールする

phpPgAdminは、広く使用されているPostgreSQL管理ツールです。これを使用して、直感的なWebインターフェイスでPostgreSQLデータベースを管理できます。この記事では、

ヘルスケア2021における人工知能の影響

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

macOS Catalina 10.15.4サプリメントの更新により、解決するよりも多くの問題が発生しています

最近、Appleは問題を修正するための補足アップデートであるmacOS Catalina 10.15.4をリリースしましたが、このアップデートにより、Macマシンのブリックにつながる問題がさらに発生しているようです。詳細については、この記事をお読みください

原子力が必ずしも悪ではないことを証明する5つの例

原子力が必ずしも悪ではないことを証明する5つの例

原子力は、過去の出来事のために私たちが決して尊重しないことを常に軽蔑していますが、それは必ずしも悪ではありません。詳細については、投稿をお読みください。

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

AIはどのようにしてプロセス自動化を次のレベルに引き上げることができますか?

これを読んで、人工知能が小規模企業の間でどのように人気を博しているか、そして人工知能がどのように成長し、競合他社に優位に立つ可能性を高めているかを理解してください。

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

ジャーナリングファイルシステムとは何ですか、そしてそれはどのように機能しますか?

私たちのコンピューターは、ジャーナリングファイルシステムと呼ばれる組織化された方法ですべてのデータを保存します。これは、検索を押すとすぐにコンピューターがファイルを検索して表示できるようにする効率的な方法です。https://wethegeek.com/?p = 94116&preview = true

ビッグデータは人工知能をどのように変えていますか?

ビッグデータは人工知能をどのように変えていますか?

ビッグデータと人工知能は流行語ですが、それらがどのように相互に関連しているか知っていますか?さて、この記事を最後まで読んで、同じことを知ってください。

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartショッピングカートプラットフォームをUbuntu 16.04にインストールする方法

LiteCartは、PHP、jQuery、およびHTML 5で記述された無料のオープンソースのショッピングカートプラットフォームです。シンプルで軽量、使いやすいeコマースソフトウォー

DebianでNFS共有をセットアップする

DebianでNFS共有をセットアップする

NFSはネットワークベースのファイルシステムであり、コンピューターはコンピューターネットワークを介してファイルにアクセスできます。このガイドでは、NFを介してフォルダーを公開する方法について説明します

Fedora 28にMatomo Analyticsをインストールする方法

Fedora 28にMatomo Analyticsをインストールする方法

別のシステムを使用していますか?Matomo(旧Piwik)は、Google Analyticsのオープンな代替手段であるオープンソースの分析プラットフォームです。Matomoのソースはoでホストされています

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

UbuntuでNginxをセットアップしてライブHLSビデオをストリーミングする

HTTPライブストリーミング(HLS)は、Apple Inc.によって実装された非常に堅牢なストリーミングビデオプロトコルです。HLSは、ファイアウォール、プロキシ、