- OpenSSL
Un ajout de quelques lignes dans le fichier de configuration d'OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.
Après les ligne :
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
Ajouter :
openssl_conf = openssl_def
[openssl_def]
engines = openssl_engines
[openssl_engines]
padlock = padlock_engine
[padlock_engine]
default_algorithms = ALL
A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, ...)
- OpenVPN
Petite spécificité d'OpenVPN, par défaut il utilise le cryptage blowfish qui n'est pas supporté par le padlock.
Première chose, vérifier que OpenVPN détecte bien le padlock :$ openvpn --show-engines
OpenSSL Crypto Engines
VIA PadLock (no-RNG, ACE) [padlock]
Dynamic engine loading support [dynamic]
Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :engine padlock
Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :cipher AES-256-CBC
Et voilà, vos connections VPN vont être boostées !
1 De Dju -
merci pour ces explication, ma v3 marche bien mieux maintenant sous US 10.04 64bits
2 De Vintz -
Merci pour ces infos fort utiles.
Sauf erreur de ma part, l'optimisation est aussi exploitée par Apache avec mod_ssl, mais je ne sais pas si cela booste réellement les connexions https car les opérations couteuses comme les négociations de clés publiques ne sont pas prises en charge par le padlock.
3 De NoNoBzH -
De rien
Il me semble bien que Apache utilise le padlock si OpenSSL est bien configuré.
En effet seule la compression des données est accélérée. Si on as un site avec beaucoup de trafic, ça devient quand même intéressant !