Toda infraestructura moderna cuenta con comunicacion cifrada, para esto inicialmente hay que crear un set de certificados. Idealmente esto se realiza en una maquina aislada sin exponer las llaves que no fueran necesarias.
El equipo de OpenVPN escribio un set de script para facilitar la labor.
apt-get install easy-rsa
Creamos el directorio de trabajo con la utilidad.
make-cadir /root/EasyRCA
cd /root/EasyRCA
Editamos las variables que idealmente deberian ser unicas para la compania.
vi vars
export KEY_COUNTRY="AR"
export KEY_PROVINCE="BA"
export KEY_CITY="CABA"
export KEY_ORG="CambiaME"
export KEY_EMAIL="root@cambiame.com.ar"
export KEY_OU="IT"
export KEY_NAME="CambiaME"
ln -s openssl-1.0.0.cnf openssl.cnf
Creamos un certificado maestro firmado por nosotros mismos y un set basico para los servicios.
. ./vars
./build-ca
./build-dh
./build-key-server vpn
./build-key-server ldap
./build-key-server smtp
./build-key-server imap
Creamos un certificado de usuario.
. vars
./build-key USER
Chequeamos que los certificados se listen correctamente.
ls keys/