Activer le padlock par défaut dans OpenSSL et OpenVPN

Par NoNoBzH le dimanche, juin 6 2010, 20:06 - Informatique - Lien permanent

Dans le billet précédent, on as vu comment faire en sorte que OpenSSL puisse utiliser le padlock sous environnement 64 bits. C'est bien mais pas suffisant ! Maintenant il faut qu'il soit utilisé dans toutes les applications qui utilisent OpenSSL.


  • OpenSSL

Un ajout de quelques lignes dans le fichier de configuration d'OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.


Après les ligne :

# Extra OBJECT IDENTIFIER info:
#oid_file               = $ENV::HOME/.oid
oid_section             = new_oids


Ajouter :

openssl_conf = openssl_def
[openssl_def]
engines = openssl_engines
[openssl_engines]
padlock = padlock_engine
[padlock_engine]
default_algorithms = ALL


A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, ...)


  • OpenVPN

Petite spécificité d'OpenVPN, par défaut il utilise le cryptage blowfish qui n'est pas supporté par le padlock.

Première chose, vérifier que OpenVPN détecte bien le padlock :
$ openvpn --show-engines
OpenSSL Crypto Engines
VIA PadLock (no-RNG, ACE) [padlock]
Dynamic engine loading support [dynamic]

Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :
engine padlock

Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :
cipher AES-256-CBC

Et voilà, vos connections VPN vont être boostées !



Source et Source

Commentaires

1. Le mardi, juin 8 2010, 13:45 par Dju

merci pour ces explication, ma v3 marche bien mieux maintenant sous US 10.04 64bits :-)

2. Le mercredi, août 18 2010, 11:36 par Vintz

Merci pour ces infos fort utiles.

Sauf erreur de ma part, l'optimisation est aussi exploitée par Apache avec mod_ssl, mais je ne sais pas si cela booste réellement les connexions https car les opérations couteuses comme les négociations de clés publiques ne sont pas prises en charge par le padlock.

3. Le jeudi, août 19 2010, 19:09 par NoNoBzH

De rien ;)
Il me semble bien que Apache utilise le padlock si OpenSSL est bien configuré.
En effet seule la compression des données est accélérée. Si on as un site avec beaucoup de trafic, ça devient quand même intéressant !