Prerequisites

1) Připojení přes VPN vyžaduje nainstalování aplikace OpenVPN do standardního adresáře.

Aplikace je ke stažení zde: ZDE

2) Dále je nutné do adresáře (např. C:\Program Files (x86)\OpenVPN) nakopírovat upravené soubory pro generování žádosti o certifikát (konkrétně adresáře config a easy-rsa).

Soubory jsou ke stažení ZDE

Žádost o certifikát

V adresáři easy-rsa spustit (nejlépe v příkazové řádce CMD) build-req.bat

Spustí se konzole, která vás požádá o zadání jména souboru certifikátu, který by měl odpovídat názvu gm-accountu. Uveďte název obsahující pouze alfanumerické znaky (písmena a čísla), bez mezer a bez uvozovek.

Příklad: Please insert username (alphanumeric, no quotes, no spaces): whitey

Pokud je všechno nastaveno správně, spustí se generování privátního klíče a žádosti o certifikát, během které je nutné vyplnit následující údaje:

  • Country Name: (stisknout ENTER)
  • State or Province Name: (stisknout ENTER)
  • Locality Name: (stisknout ENTER)
  • Organization Name: (stisknout ENTER)
  • Organizational Unit Name: (stisknout ENTER)
  • Common Name: (mělo by být předvyplněné a stačí stisknout ENTER, ale zkontrolovat a případně vyplnit - musí být shodné s názvem souboru!)
  • Name: (account name, plné jméno, nemusí se shodovat s názvem souboru)
  • E-mail: (měl by být předvyplněný, případně vyplňte accountname@manawydan.cz)

Dále žádá o vyplnění 'extra' attributes, které není třeba vyplnit (stačí stisknout ENTER).

Výsledkem generování jsou dva soubory:

  • account.key … obsahuje privátní část klíče, k tomuto souboru se chovejte jako k vlastnímu oku v hlavě = nesmí se vám ztratit, nesmíte o něj přijít, nesmí se dostat do ruky NIKOMU jinému. Opovažte se jej komukoliv posílat, tento klíč je branou na náš server.
  • account.csr … tento soubor přiložte k žádosti ve vašem skripterském postu a otravujte někoho v RT, kdo bude schopný vystavit vám certifikát (viz. postup dále).

Soubor account.key nakopírovat do adresáře …\OpenVPN\config

Vystavení certifikátu dle žádosti

Na stavěcí server je třeba nakopírovat žádost o certifikát (soubor s příponou CSR) do adresáře C:\Program Files\OpenVPN\easy-rsa\keys

Dále je potřeba spustit z příkazové řádky BUILD-REQ-KEY.BAT

Spustí se konzole, která vás požádá o zadání jména souboru žádosti. Jméno se zadává bez přípony a bez, tečky.

Například: Insert filename:whitey

Dále postupovat podle pokynů (pečlivě kontrolovat, co to píše do konzole!).

Výsledný soubor .CRT odeslat libovolným (klidně nezabezpečeným) způsobem žadateli.

Zprovoznění připojení přes VPN

1) Soubor certifikátu (s příponout CRT) nakopírovat do adresáře OpenVPN\config.

2) Upravit soubor client.ovpn - zaměnit texty client.crt a client.key za správné názvy souborů.

3) Spustit OpenVPN pomocí GUI, nebo z kontextové nabídky nad souborem client.ovpn: Start OpenVPN on this config file