سفارش تبلیغ
صبا ویژن
سه چیز است که نشانه اصابت رأی است :خوب برخورد کردن و نیک گوش کردن و پاسخ نیکو دادن . [امام صادق علیه السلام]
لوگوی وبلاگ
 

آمار و اطلاعات

بازدید امروز :13
بازدید دیروز :131
کل بازدید :854600
تعداد کل یاداشته ها : 1319
103/9/5
12:56 ص
مشخصات مدیروبلاگ
 
آذر آموزش[45]
باسلام من در شغل تدریس کامپیوتر هستم و دراکثر شاخه های کامپیوتر فعالیت دارم

خبر مایه
لوگوی دوستان
 

گواهینامه
اکنون
S/WAN Free برای برقرار کردن ارتباط با یک رمز گذاری قوی از طریق تبادل گواهینامه پیکربندی شده. گواهینامه لازم برای Gateway و کاربران بیرون از شبکه را خودمان می سازیم. برای این کار از توانایی های SSL open بهره می گیریم. نخست یک ساختار فهرست برای ایجاد گواهینامه می سازیم. برای نمونه فهرست /etc/fenrisCA را در نظر می گیریم. اینجا فهرست های certs و private key ها می سازیم.
فهرست
private به طور منطقی باید در دسترس root باشد. در فهرست/etc/fenrisCA به دو فایل index.txt و serial نیاز داریم. با touch، index.txt را خالی می کنیم. Open SSL بعدا در این فایل لیستی از گواهینامه های صادر شده ثبت می کند. اکنون در فایل OPENSSL.CNF (که در /usr/ssl یا /usr/share/ssl قرار دارد) مسیر فهرست CA را به عنوان پارامتر dir وارد می کنیم.

RootCA
اکنون به سراغ
RootCA می رویم . برای این کار نخست یک RSAPrivate به طول 2048 بیت می سازیم :openssl gersa –des3 –out private/caKey.pem2048 گزینه des3 باعث می شود که از طریق روش Triple DES ساخته شود تا افراد غیر مجاز نتوانند گواهینامه را درستکاری کنند. البته اکنون گواهینامه را درستکاری کنند. البته اگر خودمان هم Passphrase را فراموش کنیم امکان انجام این کار را نخواهیم داشت.
اکنون گواهینامه
RootCA خودمان را ایجاد کرده و آن را به یک بازه زمانی محدوده می کنیم:
Openssl reqnew-x509 –days = 1825 – key private/cakey.pem out caCert.pem به عنوان passphrase از همان چیزی که برای Private Key کار بردیم استفاده کرده ایم. سپس openssl تک تک عناصر مربوط به شناسایی دارنده گواهینامه می پرسد.
در پایان گواهینامه
Root CA را در /eht/ipsec.d/cacerts برای Free S/WAN کپی می کنیم.

گواهینامه
Gateway
ساختن گواهینامه برای
Gateway دقیقا همانند روشی است که برای گواهینامه Root CA شرح دادیم. به کمک گواهینامه Gateway به کاربران بیرون از شبکه اجازه ارتباط و استفاده از آن ر امی دهیم .
نخست به یک
Private key نیاز داریم که این بار طول آن 1024 بیت است:
openssl gersa –des3 –out private/gwKey.pem1024
اکنون گام بعدی را بر می داریم:
openssl reqnew-key private/gwKey.pem –out geReq.pem
اکنون
Request را به عنوان Root CA امضاء می کنیم:
Openssl ca –notext –in gwReq.pem –out gwCert.pem
این گواهینامه را باید در قالب فایل /
etc/x509cert.der به شکل باینر روی Gateway ذخیره کنیم . عمل تبدیل با فرمان زیر انجام می گیرد:
openssl x509 –in gwcwert.pemoutform der –out /etc/x509cert.der
Private key با نام gwkey.pem را برای Free S/WAN در /etc/ipsec.d/private کپی می کنیم. از این گذشته باید Passphrase مربوطه به طور واضح در فایل /etc/ipsec.secrets آمده باشد. اگر Passphrase به طور نمونه « asample Passphrase » باشد آن را در سطر زیر می نویسیم :
«
asample Passphrase » :RAS gwkey.pem
روشن است که تنها
root باید به ipsec.secrets دسترسی داشته باشد. اکنون آخرین جای خالی را در /etc/ipsec.conf پر می کنیم.
Leftid = "C = IR,ST = Tehran, L = Tehran, O = Rayaneh Magazine, OU = Editorial,CN = fashkain, Email = fashkain@rayanehmag.net"

گواهینامه های کاربران
اکنون باید عمل تعیین اعتبار را برای هر کاربر یکبار انجام بدهیم. در فرمان زیر که برای ساختن
Private key برای یک کاربر به کار می رود:
openssl genrsa –des3 –out private/userkey.pem –out 1024
باید برای هر کاربر
Passphrase جداگانه ای وارد کنید. در گام بعدی فرمان زیر را به کار ببرید:
openssl req –new-key private/gwKey.pem –out geReq.pem
اکنون باید گواهینامه ای را که آن را در قالب
Root CA امضاءخواهید کرد بسازید.-enddate در اینجا برای مشخص کردن مدت اعتبار به کار می رود:
Openssl ca –notext –eddate 020931200z in gwReq.pem –out gwCert.pem
در آخرین مرحله روی این گواهینامه یک فایل باینری با فرمت
PKCS#12 می سازیم کهدر ادامه برای سرویس گیرنده های ویندوز xp /2000 لازم داریم.
Openssl pkcs12 –export –inusercert.pem –inkey private/userkey.pem –certfile caCert.pem-out user.p12

چشم انداز
پیکربندی
Security Gateway را با موفقیت پشت سر گذاشتیم. در بخش بعدی به سرویس گیرنده های VPN در ویندوز می پردازیم. برای این کار از ابزارهای موجود در ویندوز 2000 و xp بهره خواهیم برد.