CentOS 7de Sertifika Doğrulaması ile AnyConnect Compatiable VPN Sunucusunu Dağıtma

• Ön şartlar
• Sunucu tarafı yazılım kurulumu
• Sertifika oluşturma ve yapılandırma
• Sunucuyu yapılandırma
• Test zamanı!

AnyConnect, Cisco tarafından geliştirilen bir uzaktan erişim çözümüdür. Taşınabilirliği ve istikrarı, özellikle DTLS özelliği ile tanınan AnyConnect, birçok şirket tarafından kullanılmaktadır. ocservProtokolle uyumlu açık kaynaklı bir sürüm kullanacağız .

Ayrıca sertifika doğrulamasını da dağıtacağız. Sunucu, istemcinin sertifikasının yapılandırılmış CA tarafından verilip verilmediğini kontrol ederek istemcileri tanımlayacaktır. Bu, istemcideki yapılandırmayı büyük ölçüde basitleştirir, çünkü sertifikayı yalnızca istemciye aktarmamız gerekir (çoğu zaman bir pkcs12 dosyası ( .pfxveya .p12)) ve parola gerekmez. Bu aynı zamanda daha güvenlidir, çünkü hiçbir şifre internette dolaşmaz.

Hadi başlayalım.

Ön şartlar

• IPv6 etkin yeni oluşturulan bir CentOS 7 sunucusu
• Çalışan bir bilgisayar (sunucunun kendisi olabilir; yine de kullanımdan kaldırılmıştır (aşağıya bakın)) not 1'e bakın
• AnyConnect (veya OpenConnect) istemci yazılımı yüklü bazı istemciler bkz. Not 2

Notlar:

1. Sunucuda her şeyi yapmak mümkün (ve oldukça uygun) olsa da, dağıtım işlemi imzalama için kullanılan özel anahtarlar oluşturmayı ve güvenlik endişeleri nedeniyle oluşur, bu işlem kendi bilgisayarınızda yapılmalıdır.

2. Lisans sorunları nedeniyle, istemci yazılımını indirmek için bağlantı sağlamayacağım. Bunları müşteriniz için bulmak oldukça kolaydır. AnyConnect, App Store'larda sırasıyla büyük mobil platformlardaki (iOS, Android, BlackBerry OS (v10 veya üstü), UWP) bir uygulamadır ve basit bir arama bunları size getirecektir. PC platformları için, bazı Google çalışanları size uygun yazılımı sunacaktır.

Sunucu tarafı yazılım kurulumu

Vultr'un CentOS 7 makineleri EPEL deposu ile yapılandırılmıştır. Biz yüklemek sadece ocservile yum:

yum update
yum install ocserv

İşlerin çalışması için bir sunucu sertifikasına ihtiyacımız olacak. Bir alan adınız varsa, en kolay seçenek Şifrelenelim.

yum install certbot
certbot certonly

ACME CA ile kimlik doğrulaması yapmak için "geçici bir Web sunucusunu döndür" seçeneğini belirleyin. Bir alan adınız yoksa, daha sonra kendinden imzalı bir sertifika verilecektir.

Sertifika oluşturma ve yapılandırma

Geleneksel PKI'nın kullanımı oldukça elverişsizdir, bu nedenle easyrsaOpenVPN projesindeki yardımcı programı kullanacağız . Git'i çalışma makinenize kurun ve depoyu klonlayın:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

CA'yı oluşturacağız ve sertifikalar vereceğiz. Aşağıdakileri yapın ve bir yere ayarladığınız PEM parolasını yazın:

./easyrsa init-pki
./easyrsa build-ca

pki/private/ca.keyGüvenli bir yerde saklayın . Bu sızıntı tüm altyapınızı işe yaramaz hale getirecektir.

Kendinden imzalı bir sunucu sertifikası kullanmayı seçerseniz, aşağıdakileri yapın:

./easyrsa gen-req server

Sunucunuzun IP adresini ortak ad olarak girin.

./easyrsa sign-req server server

Bu, sunucu için bir sertifika imzalayacaktır. Transferi pki/issued/server.crtve pki/ca.crtiçin /etc/ssl/certsve pki/private/server.keyiçin /etc/ssl/privatesunucunuzda.

Sonra istemci sertifikaları oluşturacağız. Aşağıdakileri yapın:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

İstemcinin adını seçin ve ortak ad alanına doldurun. Parolayı hatırla!

Daha sonra sertifikayı mobil platformlarda kullanım için pkcs12 biçiminde dışa aktaracağız. Yapmak:

./easyrsa export-p12 client_01

Sertifikayı telefonda alırken girmeniz istenecek bir dışa aktarma şifresi seçin. Transferi pki/private/client_01.p12telefonunuza ve içe aktarın.

Sunucuyu yapılandırma

Sertifika bilgilerini dolduracağız.

vim /etc/ocserv/ocserv.conf

server-certBölümü bulun ve aşağıdakileri doldurun:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Eğer kendinden imzalı sertifikayı kullanıyorsanız, ilk parolayı kaldırmak için unutmayın Not openssl rsa -in server.key -out server-new.keyböylece ocservözel anahtarı kullanabilirsiniz.

authBölümü bulun . Bu satırı etkinleştir:

auth = "certificate"

Ve diğer tüm authsatırları yorumlayın .

Bu satırı kaldır:

cert-user-oid = 2.5.4.3

ipv6-networkSunucunuzun ipv6 bloğunu bulun ve doldurun. Bu, sunucunun kira vereceği bloktur.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

DNS sunucularını ayarlayın.

dns = 8.8.8.8
dns = 8.8.4.4

Cisco istemcileriyle uyumluluğu etkinleştirin.

cisco-client-compat = true

Eğer belirlenen bağlantı noktalarını açın tcp-portve udp-portve firewalld hem IPv4 ve IPv6 için masquerade etkinleştirin.

Sunucuyu başlatın.

systemctl enable ocserv
systemctl start ocserv

Test zamanı!

Sunucu başarıyla yapılandırıldı. İstemcinizde bir bağlantı oluşturun ve bağlanın. İşler ters giderse, hata ayıklamak için bu komutu kullanın:

journalctl -fu ocserv

Ayrıca, istemci yazılımınız ipv6'yı destekliyorsa, istemcinizin ağı size bir adres vermese bile IPv6'nın istemci tarafında çalışması gerekir. Test etmek için bu siteye gidin .

Her şey hazır! Yeni AnyConnect uyumlu VPN sunucunuzun tadını çıkarın!