On peut configurer finement les méthodes de chiffrement et le hachage utilisés pour les communications entre le serveur et les clients.
Pour lister les méthodes de chiffrement disponibles pour le paramétrage de openvpn:
Lister algorithmes de chiffrement pour le canal de contrôle:
openvpn --show-tls
Lister les algorithmes de chiffrement pour le canal de données:
openvpn --show-ciphers
Lister les algorithmes de hachage (en phase d'authentification)
openvpn --show-digests
En cas d'erreur lors de l’établissement de la connexion, il faudra afficher l'algorithme utilisé par le certificat et essayer vérifier l’algorithme utilisé lors de la génération du certificat. Pour afficher les détails d'un certificat dans la console:
Pour Afficher les détails du certificat dans la console:
openssl x509 -text -in ./monCertificat.crt
Il faut prêter attention aux valeurs des attributs Signature Algorithm et Public Key Algorithm.
Avec easy-rsa 2.2.2-1, le certificat généré affiche
Certificate:
Data:
...
Signature Algorithm: sha256WithRSAEncryption
...
Public Key Algorithm: rsaEncryption
Avec ce type de certificat, les algorithmes qui se sont révélés utilisables pour le canal de contrôle sont:
| TLS-DHE-RSA-WITH-AES-256-CBC-SHA |
|---|
| TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA |
| TLS-RSA-WITH-AES-256-CBC-SHA |
| TLS-RSA-WITH-CAMELLIA-256-CBC-SHA |
| TLS-RSA-WITH-3DES-EDE-CBC-SHA |
| TLS-DHE-RSA-WITH-AES-128-CBC-SHA |
| TLS-DHE-RSA-WITH-SEED-CBC-SHA |
| TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA |
| TLS-RSA-WITH-AES-128-CBC-SHA |
| TLS-RSA-WITH-SEED-CBC-SHA |
| TLS-RSA-WITH-CAMELLIA-128-CBC-SHA |
| TLS-RSA-WITH-RC4-128-SHA |
| TLS-RSA-WITH-RC4-128-MD5 |
| TLS-RSA-WITH-DES-CBC-SHA |