Я установил сервер openvpn на ec2, следуя инструкциям здесь: http://alestic.com/2009/05/openvpn-ec2
Все это прекрасно работает.
Я хотел бы изменить это, чтобы использовать асимметричные ключи и разрешить несколько клиентских подключений, но мне трудно понять документацию openvpn. Кто-нибудь знает хороший учебник, который мог бы восполнить пробел для меня?
Можно ли настроить openvpn для использования существующих ключей ssh?
Я не думаю, что вы найдете способ использовать существующие ключи SSH с OpenVPN. OpenVPN требует сертификатов X.509 для работы, и я не верю, что OpenSSH будет использовать сертификаты x.509 без исправлений (см. http://roumenpetrov.info/openssh/).
Ключом к пониманию OpenVPN и асимметричного шифрования является понимание того, как работает PKI. Сервер OpenVPN настроен с собственным сертификатом и принимает сертификаты клиентов только в том случае, если они подписаны тем же центром сертификации, который подписал собственный сертификат.
В официальном HOWTO (http://www.openvpn.net/index.php/open-source/documentation/howto.html) вы выполняете создание пары открытого / закрытого ключей и сертификата ЦС («главный ЦС», как его называют в документе), а затем создание сертификатов для сервера и 3 клиентов. Вам не обязательно делать это на сервере OpenVPN (и, по сути, лучше не делать этого).
HOWTO предлагает вам использовать некоторые сценарии из дистрибутива OpenVPN для управления инструментами командной строки OpenSSL (сценарии "easy-rsa"). Если вы сможете потратить некоторое время на освоение инструмента командной строки OpenSSL, вам повезет еще больше. Для игры подходят сценарии easy-rsa и HOWTO.
Для обеспечения максимальной безопасности вы создадите центр сертификации на автономном компьютере (то есть без сетевого подключения или с минимальным сетевым подключением) и запросы сертификатов (пары открытых / закрытых ключей) на сервере OpenVPN и на каждом клиенте. Вы отправите запросы сертификатов в ЦС с помощью некоторых средств, подпишете запросы в ЦС, а затем отправите полученные сертификаты обратно на различные машины. Это предотвращает попадание секретных ключей в сеть и предохраняет CA от компрометации.
Взгляните на руководство по ubuntu: https://help.ubuntu.com/community/OpenVPN Его легко понять и он отлично работает! Для нескольких клиентов просто создайте новую конфигурацию клиента и ключи для каждого пользователя и замените имена конфигурации и ключей на имя пользователя.
Взгляните на этот HOWTO: http://www.openvpn.net/index.php/open-source/documentation/howto.html#pki - Настройка собственного центра сертификации (CA) и создание сертификатов и ключей для сервера OpenVPN и нескольких клиентов
это, вероятно, то, что вы хотите ... когда вы закончите это, вы должны иметь в конфигурации вашего сервера что-то вроде этого (среди прочего):
ca ca.crt сертификат server.crt ключ server.key