NoNoBzH weblog - Mot-clé - openvpnBlog personnel parlant de sujet variés tels que la Technologie, les Réseaux, la Photo, le Spotting ...2023-02-10T23:07:01+01:00Arnaud Tardyurn:md5:f1f679160f1a411ebeefb1b178d7e33bDotclearActiver le padlock par défaut dans OpenSSL et OpenVPNurn:md5:2c79004c606f93a141e478b2005c52782010-06-06T20:06:00+02:002010-09-22T22:13:58+02:00NoNoBzHInformatiquedediboxopensslopenvpnpadlockv3<p>Dans le <a hreflang="fr" href="https://blog.nonobzh.fr/post/2010/06/06/Activer-le-Padlock-du-VIA-Nano-%28Dedibox-V3%29-sous-Debian-64-bits">billet précédent</a>, on as vu comment faire en sorte que OpenSSL
puisse utiliser le padlock sous environnement 64 bits. C'est bien
mais pas suffisant ! Maintenant il faut qu'il soit utilisé dans toutes
les applications qui utilisent OpenSSL.</p> <br /><ul><li>OpenSSL</li>
</ul>
<p>Un ajout de quelques lignes dans le fichier de configuration d'OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.</p>
<p><br />Après les ligne :</p>
<blockquote><p># Extra OBJECT IDENTIFIER info:<br />#oid_file = $ENV::HOME/.oid<br />oid_section = new_oids</p>
</blockquote>
<p><br />Ajouter :</p>
<blockquote><p>openssl_conf = openssl_def<br />[openssl_def]<br />engines = openssl_engines<br />[openssl_engines]<br />padlock = padlock_engine<br />[padlock_engine]<br />default_algorithms = ALL</p>
</blockquote>
<p><br />A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, ...)</p>
<br />
<ul><li>OpenVPN</li>
</ul>
<p>Petite spécificité d'OpenVPN, par défaut il utilise le cryptage blowfish qui n'est pas supporté par le padlock.<br /><br />Première chose, vérifier que OpenVPN détecte bien le padlock :<br /><code>$ openvpn --show-engines<br />OpenSSL Crypto Engines<br />VIA PadLock (no-RNG, ACE) [padlock]<br />Dynamic engine loading support [dynamic]</code></p>
<p>Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :<br /><code>engine padlock</code></p>
<p>Ensuite dans les fichiers de configuration du serveur <strong>ET</strong> des clients, il faut préciser le cryptage à utiliser :<br /><code>cipher AES-256-CBC</code></p>
<p>Et voilà, vos connections VPN vont être boostées !</p>
<br /><br />
<p><a hreflang="en" href="http://ubuntuforums.org/showthread.php?t=710243">Source</a> et<a hreflang="en" href="http://www.a110wiki.de/wiki/VIA_Padlock#Configuring_OpenSSL_to_use_VIA_Padlock_all_the_time"> Source</a></p>