گواهینامه اکنون S/WAN Free برای برقرار کردن ارتباط با یک رمز گذاری قوی از طریق تبادل گواهینامه پیکربندی شده. گواهینامه لازم برای Gateway و کاربران بیرون از شبکه را خودمان می سازیم. برای این کار از توانایی های SSL open بهره می گیریم. نخست یک ساختار فهرست برای ایجاد گواهینامه می سازیم. برای نمونه فهرست /etc/fenrisCA را در نظر می گیریم. اینجا فهرست های certs و private key ها می سازیم. فهرست private به طور منطقی باید در دسترس root باشد. در فهرست/etc/fenrisCA به دو فایل index.txt و serial نیاز داریم. با touch، index.txt را خالی می کنیم. Open SSL بعدا در این فایل لیستی از گواهینامه های صادر شده ثبت می کند. اکنون در فایل OPENSSL.CNF (که در /usr/ssl یا /usr/share/ssl قرار دارد) مسیر فهرست CA را به عنوان پارامتر dir وارد می کنیم.
RootCA اکنون به سراغ RootCA می رویم . برای این کار نخست یک RSAPrivate به طول 2048 بیت می سازیم :openssl gersa –des3 –out private/caKey.pem2048 گزینه des3 باعث می شود که از طریق روش Triple DES ساخته شود تا افراد غیر مجاز نتوانند گواهینامه را درستکاری کنند. البته اکنون گواهینامه را درستکاری کنند. البته اگر خودمان هم Passphrase را فراموش کنیم امکان انجام این کار را نخواهیم داشت. اکنون گواهینامه RootCA خودمان را ایجاد کرده و آن را به یک بازه زمانی محدوده می کنیم: Openssl req –new-x509 –days = 1825 – key private/cakey.pem out caCert.pem به عنوان passphrase از همان چیزی که برای Private Key کار بردیم استفاده کرده ایم. سپس openssl تک تک عناصر مربوط به شناسایی دارنده گواهینامه می پرسد. در پایان گواهینامه Root CA را در /eht/ipsec.d/cacerts برای Free S/WAN کپی می کنیم.
گواهینامه Gateway ساختن گواهینامه برای Gateway دقیقا همانند روشی است که برای گواهینامه Root CA شرح دادیم. به کمک گواهینامه Gateway به کاربران بیرون از شبکه اجازه ارتباط و استفاده از آن ر امی دهیم . نخست به یک Private key نیاز داریم که این بار طول آن 1024 بیت است: openssl gersa –des3 –outprivate/gwKey.pem1024 اکنون گام بعدی را بر می داریم: openssl req –new-key private/gwKey.pem –out geReq.pem اکنون Request را به عنوان Root CA امضاء می کنیم: Openssl ca –notext –in gwReq.pem –out gwCert.pem این گواهینامه را باید در قالب فایل /etc/x509cert.der به شکل باینر روی Gateway ذخیره کنیم . عمل تبدیل با فرمان زیر انجام می گیرد: openssl x509 –in gwcwert.pem –outform der –out /etc/x509cert.der Private key با نام gwkey.pem را برای Free S/WAN در /etc/ipsec.d/private کپی می کنیم. از این گذشته باید Passphrase مربوطه به طور واضح در فایل /etc/ipsec.secrets آمده باشد. اگر Passphrase به طور نمونه « asample Passphrase » باشد آن را در سطر زیر می نویسیم : « asamplePassphrase » :RAS gwkey.pem روشن است که تنها root باید به ipsec.secrets دسترسی داشته باشد. اکنون آخرین جای خالی را در /etc/ipsec.conf پر می کنیم. Leftid = "C = IR,ST = Tehran, L = Tehran, O = Rayaneh Magazine, OU = Editorial,CN = fashkain, Email = fashkain@rayanehmag.net"
گواهینامه های کاربران اکنون باید عمل تعیین اعتبار را برای هر کاربر یکبار انجام بدهیم. در فرمان زیر که برای ساختن Private key برای یک کاربر به کار می رود: openssl genrsa –des3 –out private/userkey.pem –out 1024 باید برای هر کاربر Passphrase جداگانه ای وارد کنید. در گام بعدی فرمان زیر را به کار ببرید: openssl req –new-key private/gwKey.pem –out geReq.pem اکنون باید گواهینامه ای را که آن را در قالب Root CA امضاءخواهید کرد بسازید.-enddate در اینجا برای مشخص کردن مدت اعتبار به کار می رود: Openssl ca –notext –eddate 020931200z in gwReq.pem –out gwCert.pem در آخرین مرحله روی این گواهینامه یک فایل باینری با فرمت PKCS#12 می سازیم کهدر ادامه برای سرویس گیرنده های ویندوز xp /2000 لازم داریم. Openssl pkcs12 –export –inusercert.pem –inkeyprivate/userkey.pem –certfile caCert.pem-out user.p12
چشم انداز پیکربندی Security Gateway را با موفقیت پشت سر گذاشتیم. در بخش بعدی به سرویس گیرنده های VPN در ویندوز می پردازیم. برای این کار از ابزارهای موجود در ویندوز 2000 و xp بهره خواهیم برد.
