Différences

Ci-dessous, les différences entre deux révisions de la page.

--- netadmin:vpn:openvpn:chiffrement-et-hachage [2017/12/19 14:14] – créée yoann
+++ netadmin:vpn:openvpn:chiffrement-et-hachage [2021/02/01 21:51] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 3: / Ligne 3: @@
 ====== Chiffrement et hachage avec openvpn =====
-On peut configurer finement le chiffrement et le hachage utilisés pour établir la communication entre le serveur et le client.
+On peut configurer finement les méthodes de chiffrement et le hachage utilisés pour les communications entre le serveur et les clients.
 Pour lister les méthodes de chiffrement disponibles pour le paramétrage de openvpn:
+Lister algorithmes de chiffrement pour le canal de contrôle:
+<code bash>
+openvpn --show-tls
+</code>
+Lister les algorithmes de chiffrement pour le canal de données:
 <code>
-# algorithmes pour le canal data
 openvpn --show-ciphers
-# algorithmes pour le canal controle
-openvpn --show-tls
 </code>
+Lister les algorithmes de hachage (en phase d'authentification)
+<code bash>
+openvpn --show-digests
+</code>
 <note warning>
-Attention à la compatibilité entre les chiffrements autorisés pour les communications serveur/client et ceux utilisés pour la génération des certificats.
+Pour que la communication puisse être établie, le chiffrement utilisé par le canal de contrôle et celui utilisé par openssl lors de la génération des certificats doivent être compatibles.
 </note>
-En cas d'erreur lors de l’établissement de la connexion, vérifier l’algorithme utilisé lors de la génération du certificat. Pour afficher les détails d'un certificat dans la console:
+En cas d'erreur lors de l’établissement de la connexion, il faudra afficher l'algorithme utilisé par le certificat et essayer vérifier l’algorithme utilisé lors de la génération du certificat. Pour afficher les détails d'un certificat dans la console:
+Pour Afficher les détails du certificat dans la console:
 <code bash>
@@ Ligne 23: / Ligne 33: @@
 </code>
-Il faut prêter attention à la section **Subject Public Key Info** -> **Public Key Algorithm**.
+Il faut prêter attention aux valeurs des attributs **Signature Algorithm** et **Public Key Algorithm**.
+Avec easy-rsa 2.2.2-1, le certificat généré affiche
+<file>
+Certificate:
+    Data:
+    ...
+    Signature Algorithm: sha256WithRSAEncryption
+    ...
+            Public Key Algorithm: rsaEncryption
+</file>
+Avec ce type de certificat, les algorithmes qui se sont révélés utilisables pour le canal de contrôle sont:
+^ TLS-DHE-RSA-WITH-AES-256-CBC-SHA       |
+^ TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA  |
+^ TLS-RSA-WITH-AES-256-CBC-SHA           |
+^ TLS-RSA-WITH-CAMELLIA-256-CBC-SHA      |
+^ TLS-RSA-WITH-3DES-EDE-CBC-SHA          |
+^ TLS-DHE-RSA-WITH-AES-128-CBC-SHA       |
+^ TLS-DHE-RSA-WITH-SEED-CBC-SHA          |
+^ TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA  |
+^ TLS-RSA-WITH-AES-128-CBC-SHA           |
+^ TLS-RSA-WITH-SEED-CBC-SHA              |
+^ TLS-RSA-WITH-CAMELLIA-128-CBC-SHA      |
+^ TLS-RSA-WITH-RC4-128-SHA               |
+^ TLS-RSA-WITH-RC4-128-MD5               |
+^ TLS-RSA-WITH-DES-CBC-SHA               |
-Si le certificat utilise par exemple **rsaEncryption** la configuration d'openvpn devra utiliser un agorithme

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page