- Easy-RSA のインストールとセットアップ
Easy-RSAをGitHubからクローン
git clone https://github.com/OpenVPN/easy-rsa.git ~/easy-rsa
Easy-RSA のディレクトリに移動
cd ~/easy-rsa/easy-rsa3/
vars.example を vars にコピーし、編集
cp vars.example vars
vi vars
設定をロード
source vars
PKI の初期化
./easyrsa init-pki
CA の作成
./easyrsa build-ca
2. サーバー証明書と鍵の作成
サーバー証明書と秘密鍵の作成
./easyrsa build-server-full server nopass
3. クライアント証明書と鍵の作成
クライアント証明書と秘密鍵の作成
./easyrsa build-client-full client nopass
4. DHパラメータの生成
DHパラメータの生成
./easyrsa gen-dh
5. 証明書ファイルの配置
必要な証明書ファイルを /etc/openvpn/ にコピー
sudo cp ~/easy-rsa/easyrsa3/pki/ca.crt /etc/openvpn/
sudo cp ~/easy-rsa/easyrsa3/pki/issued/server.crt /etc/openvpn/
sudo cp ~/easy-rsa/easyrsa3/pki/private/server.key /etc/openvpn/
sudo cp ~/easy-rsa/easyrsa3/pki/dh.pem /etc/openvpn/dh2048.pem
6. OpenVPN 設定ファイルの編集
/etc/openvpn/server.conf の内容を確認・編集
vi /etc/openvpn/server.conf
設定内容を以下のように確認・編集
port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
7. ファイルとディレクトリの権限設定
証明書ファイルの権限を適切に設定
sudo chmod 600 /etc/openvpn/server.key
sudo chmod 644 /etc/openvpn/server.crt
sudo chmod 644 /etc/openvpn/ca.crt
sudo chmod 644 /etc/openvpn/dh2048.pem
8. OpenVPN サービスの起動
openvpn@server.service のサービスを起動
sudo systemctl daemon-reload
sudo systemctl start openvpn@server
サービスの状態確認
sudo systemctl status openvpn@server.service
sudo journalctl -xeu openvpn@server.service
9. nogroup グループの確認と作成
nogroup グループが存在しない場合、作成
getent group nogroup
sudo groupadd nogroup
10. systemd サービスの管理
サービスの有効化
sudo systemctl enable openvpn@server
サービスの再起動
sudo systemctl restart openvpn@server