Add ipsec section + links

2022-12-05 23:59:54 +01:00 · 2022-12-05 23:59:54 +01:00 · 0b8ae8d1ff
commit 0b8ae8d1ff
parent 060ed87a0e
1 changed files with 53 additions and 0 deletions
--- a/content/secu_reseaux/99_commandes_utiles/index.md
+++ b/content/secu_reseaux/99_commandes_utiles/index.md
@ -312,3 +312,56 @@ Ou encore de rajouter un utilisateur à notre royaume
 ```
 kadmin: addprinc <user>.example.com
 ```
+
+## ipsec
+
+### exporter un certificat au format pkcs12
+
+C'est le format utilisé par *libreswan* pour les certificats. Il est possible
+d'utiliser openssl pour convertir un certificat:
+
+```
+openssl pkcs12 -export -in <cert.crt> -inkey <privkey.key> -out <cert.p12> -name <myname>
+```
+
+Il n'est pas toujours nécessaire d'inclure la clé privée :). Le nom `-name` sera
+utile pour `ipsec.secrets` (voir plus bas)
+
+### importer les certificats dans ipsec.
+
+Il fut d'abord initialliser le dépôt des certificats d'*ipsec*:
+
+```
+rm -f /var/lib/ipsec/nss/*
+ipsec initnss
+```
+
+Puis importer les certificats dont nous avons besoin:
+
+```
+ipsec import mysert.p12
+```
+
+Il est possible de vérifier les certificats déjà en place avec les commandes
+suivante:
+
+```
+# pout lister les certificats
+certutil -L -d sql:/var/lib/ipsec/nss
+
+# Pour les clés privées
+certutil -K -d sql:/var/lib/ipsec/nss
+```
+
+Les certificats *pkcs12* étant protégés par un mot depasse, il est nécessaire de
+donner les informations à daemon ipsec en ajoutant les nots de passe dans le
+fichier `/etc/ipsec.secrets`:
+
+```
+: RSA <phrase_de_passe>
+```
+
+## Liens
+
+ * [note de TD d'Aurélien Esnard](https://aurelien-esnard.emi.u-bordeaux.fr/teaching/doku.php?id=secres:notes)
+ * [Cours et TD, Abdou Guermouche](https://dept-info.labri.fr/~guermouc/SR/)