Gestión y colocación de certificados para configurar VPNs con OpenVPN en Vyatta

Una vez hemos creado todos los certificados según el paso anterior para poder configurar las VPNs en Vyatta de nuestra topología ejemplo hay que tener claro donde hay que colocarlos y hacerlo con una distribución un poco lógica para que pasado el tiempo siga siendo clara la utilidad de cada uno de ellos. Propongo entonces crear una nueva ruta en cada máquina para poder alojar los certificados pertinentes que podría ser /openvpn/keys/ra/ y /openvpn/keys/sts/ para el caso de openredesR1 y solo /openvpn/keys/sts/ para el caso de openredesR2 (si queremos conectar varias máquinas Vyatta entre sí podríamos crear una ruta como /openvpn/keys/site1/sts/), esto lo hacemos con estos comandos:

openredes@openredesR1:~$ sudo mkdir -p /openvpn/keys/ra
openredes@openredesR1:~$ sudo mkdir -p /openvpn/keys/sts

openredes@openredesR2:~$ sudo mkdir -p /openvpn/keys/sts

Suponemos que hemos llevado a cabo la creación de certificados siguiendo el manual de openredes y que lo hemos hecho en la máquina openredesR1, con lo que tendremos todos los archivos necesarios almacenados en la ruta /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/, vamos entonces a distribuirlos a sus directorios correspondientes:

openredes@openredesR1:~$ cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp ca.crt /openvpn/keys/ra
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp ca.crt /openvpn/keys/sts
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp dh1024.pem /openvpn/keys/ra
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp dh1024.pem /openvpn/keys/sts
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp empresaR1.crt /openvpn/keys/ra
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp empresaR1.crt /openvpn/keys/sts
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp empresaR1.key /openvpn/keys/ra
openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cp empresaR1.key /openvpn/keys/sts

Con esto tenemos todo listo en openredesR1, ahora hay que copiarlos a openredesR2, ¿cómo? podemos hacerlo teniendo configurado el servicio SSH en ambas máquinas con unos comandos de SSH o bien desde WinSCP para quien esté más acostumbrado a eso de copiar y pegar en modo gráfico. En cualquier caso habría que hacerlo usando un canal seguro ya que son las claves para poder tener acceso a la empresa!
Para hacerlo por SSH, usando el comando scp (Secure CoPy), sería con los comandos siguientes desde openredesR1 (suponiendo que ambas máquinas tienen conexión entra ellas y configurado el servicio SSH):

openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ scp -P 2222 ca.crt openredes@192.0.2.20:/openvpn/keys/sts/

Weelcome to Vyatta!

openredes@192.0.2.20's password:
ca.crt                                                                                         100%  121     0.1KB/s   00:00

openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ scp -P 2222 stsempresaR2.crt openredes@192.0.2.20:/openvpn/keys/sts/

Weelcome to Vyatta!

openredes@192.0.2.20's password:
stsempresaR2.crt                                                                                        100%  121     0.1KB/s   00:00

openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ scp -P 2222 stsempresaR2.key openredes@192.0.2.20:/openvpn/keys/sts/

Weelcome to Vyatta!

openredes@192.0.2.20's password:
stsempresaR2.key                                                                                        100%  121     0.1KB/s   00:00

openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$

Donde -P se usa para especificar la conexión SSH a un puerto distinto del 22 por defecto (una buena práctica de seguridad por ocultación).
openredes es el usuario con el que queremos loguearnos en la máquina remota openredesR2.
192.0.2.20 es la IP de la máquina remota openredesR2 a la que vamos a copiar los archivos.
:/openvpn/key/sts es la ruta donde vamos a copiar los archivos en la máquina remota openredesR2.

Ahora solo queda cambiar los permisos de los directorios que contienen todos los certificados, esto lo hacemos con estos comandos:

openredes@openredesR1:/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys$ cd
openredes@openredesR1:~$ sudo chmod -R 700 /openvpn/

Para el caso de openredesR1 y lo mismo para openredesR2 (con -R aplicamos la misma configuración de permisos a todas las subcarpetas y ficheros que estén por debajo de la ruta /openvpn):

openredes@openredesR2:~$ sudo chmod -R 700 /openvpn/

Y ahora si lo tenemos todo listo y podemos comenzar con la configuración de las VPNs en Vyatta.

Comentarios (3)
Pings (3)
Entradas relacionadas

Escribe tu comentario
Puedes usar las siguientes etiquetas HTML: <a> <abbr> <acronym> <b> <blockquote> <cite> <code> <del> <em> <i> <q> <strike> <strong>

Notificarme los nuevos comentarios por correo electrónico. También puedes suscribirte sin comentar.
Feed de comentarios de esta entrada