From 0b8ae8d1ffe0d9bdb9f147956c9ad3f19ae4bfdc Mon Sep 17 00:00:00 2001 From: Yorick Barbanneau Date: Mon, 5 Dec 2022 23:59:54 +0100 Subject: [PATCH] Add ipsec section + links --- .../secu_reseaux/99_commandes_utiles/index.md | 53 +++++++++++++++++++ 1 file changed, 53 insertions(+) diff --git a/content/secu_reseaux/99_commandes_utiles/index.md b/content/secu_reseaux/99_commandes_utiles/index.md index aee1595..66a82cd 100644 --- a/content/secu_reseaux/99_commandes_utiles/index.md +++ b/content/secu_reseaux/99_commandes_utiles/index.md @@ -312,3 +312,56 @@ Ou encore de rajouter un utilisateur à notre royaume ``` kadmin: addprinc .example.com ``` + +## ipsec + +### exporter un certificat au format pkcs12 + +C'est le format utilisé par *libreswan* pour les certificats. Il est possible +d'utiliser openssl pour convertir un certificat: + +``` +openssl pkcs12 -export -in -inkey -out -name +``` + +Il n'est pas toujours nécessaire d'inclure la clé privée :). Le nom `-name` sera +utile pour `ipsec.secrets` (voir plus bas) + +### importer les certificats dans ipsec. + +Il fut d'abord initialliser le dépôt des certificats d'*ipsec*: + +``` +rm -f /var/lib/ipsec/nss/* +ipsec initnss +``` + +Puis importer les certificats dont nous avons besoin: + +``` +ipsec import mysert.p12 +``` + +Il est possible de vérifier les certificats déjà en place avec les commandes +suivante: + +``` +# pout lister les certificats +certutil -L -d sql:/var/lib/ipsec/nss + +# Pour les clés privées +certutil -K -d sql:/var/lib/ipsec/nss +``` + +Les certificats *pkcs12* étant protégés par un mot depasse, il est nécessaire de +donner les informations à daemon ipsec en ajoutant les nots de passe dans le +fichier `/etc/ipsec.secrets`: + +``` +: RSA +``` + +## Liens + + * [note de TD d'Aurélien Esnard](https://aurelien-esnard.emi.u-bordeaux.fr/teaching/doku.php?id=secres:notes) + * [Cours et TD, Abdou Guermouche](https://dept-info.labri.fr/~guermouc/SR/)