Настройки после первого запуска

Вкладка (см. рис. 1) содержит параметры настройки порядка кнопок:

При первом запуске:
• автоматически создается файл конфигурации сервиса, содержащий достаточные для запуска сервиса настройки по умолчанию;
• создается локальный удостоверяющий центр и выпускаются необходимые для работы сертификаты;
• создаются необходимые для работы сервиса файлы;
• если на компьютере установлены и настроены библиотеки, поддерживающие метод защитного преобразования по алгоритму ГОСТ Р 34.12-2015 («Кузнечик»), то для защиты канала данных OpenVPN будет выбран этот метод. В противном случае будет выбран метод защитного преобразования AES-256-GCM;
• выполняются настройки сетевого экрана, и другие настройки операционной системы для работы OpenVPN как системного сервиса.

Вкладка «Настройки»

Вкладка (см. рис. 1) содержит элементы управления для настройки сервера OpenVPN:

• «IP-адрес» - в строке устанавливается IP-адрес создаваемой сети VPN. По умолчанию значение 10.8.0.0 (поддерживается только формат адресов протокола IPv4);
• «Маска» - в строке устанавливается маска создаваемой сети VPN. По умолчанию значение 255.255.255.0 (поддерживается только формат масок протокола IPv4);
• «Порт» - в строке устанавливается сетевой порт сервера, который будут использовать клиенты для подключения. По умолчанию - значение 1194 (поддерживаются номера свободных портов от 1 до 65535);
• «Метод защитного преобразования» - по умолчанию устанавливается «grasshopper-cbc» («Кузнечик»). Поддерживаются следующие методы:
• «AES-256-GCM» - рекомендуется для применения в системах общего назначения;
• «AES-256-CBC» - допускается для применения в системах общего назначения;
• «AES-128-CBC» - используется для совместимости со старыми системами, к применению не рекомендуется.
• [Показать расширенные настройки] - отображаются настройки (рис. 2), которые позволяют задать расположение ранее предустановленных файлов ключей и сертификатов внешнего удостоверяющего центра, а также заново выпустить сертификаты локального удостоверяющего центра:


Рис.2

• «Сертификат пользователя» - в строке отображается полное (маршрутное) имя установленного файла сертификата открытого ключа, [Выбрать] - из диалогового окна устанавливается имя нового файла;
• «Сертификат ЦС» - в строке отображается полное (маршрутное) имя установленного файла сертификата открытого ключа удостоверяющего центра, [Выбрать] - из диалогового окна устанавливается имя нового файла;
• «Личный ключ» - в строке отображается полное (маршрутное) имя установленного файла закрытого ключа сервера, [Выбрать] - из диалогового окна устанавливается имя нового файла;
• «Файл Диффи-Хеллмана» - в строке отображается полное (маршрутное) имя установленного файла параметров Диффи-Хеллмана, [Выбрать] - из диалогового окна устанавливается имя нового файла;
• «Файл аутентификации TLS» - в строке отображается полное (маршрутное) имя установленного файла дополнительной аутентификации TLS, [Выбрать] - из диалогового окна устанавливается имя нового файла;
• [Сбросить сертификаты] - удаление всех сертификатов локального удостоверяющего центра и повторный выпуск сертификатов сервера:
• останавливается сервис OpenVPN;
• удаляются все файлы удостоверяющего центра;
• удаляются все копии сертификатов сервера и клиентов;
• создается новый удостоверяющий центр;
• создается новые сертификаты сервера;
• повторно запускается сервер;

После выполнения этого действия сертификаты клиентов станут недействительными, и клиенты потеряют возможность подключения к серверу OpenVPN;

• [Открыть файл конфигурации openvpn] - открывается окно для выбора приложения. После установки приложения соответствующая программа открывает файл конфигурации для его просмотра и редактирования.

Вкладка «Клиентские сертификаты»

Вкладка (рис. 3) содержит элементы управления для создания ключей и сертификатов для клиентов:

Рис.3

• таблица «Клиенты» - таблица в каждой строке которой содержатся данные о конкретном клиентском сертификате. Столбцы:
• «Номер» - номер сертификата в базе данных удостоверяющего центра;
• «Имя пользователя» - уникальное имя сертификата;
• «Состояние» - сертификат действителен или отозван;
• «Страна» - название страны;
• «Область» - название области;
• «Город» - название города;
• «Организация» - название организации;
• «EMail» - адрес электронной почты;
• «Подразделение» - название подразделения организации;
• «Имя» - имя пользователя;
• «Истекает» - дата завершения действия сертификата;
• «Отозван» - дата отзыва сертификата, если он был отозван;
• [Создать сертификат] - открывается форма (рис. 4) для заполнения.


Рис.4

Строки ввода с отображаемыми в них значениями по умолчанию повторяют столбцы таблицы «Клиенты». Кнопки управления:

• [Да] - в открытой форме (без защитного преобразования) генерируются клиентские ключи (при этом не запрашивается ввода паролей при подключении клиента к серверу):
• создается новый файл закрытого ключа для клиента с указанным именем клиента (например, ivanov.key);
• создается файл сертификата открытого ключа, подписанный удостоверяющим центром (например, ivanov.crt);
• для удобства последующей передачи клиенту, созданные файлы копируются в каталог /etc/opnvpn/clients-keys/имя_клиента(например, /etc/opnvpn/clients-keys/ivanov);
• дополнительно, в этот же каталог /etc/opnvpn/clients-keys/имя_клиента копируются и другие, необходимые для работы клиента, файлы: файл сертификата удостоверяющего центра (по умолчанию ca.crt) и файл дополнительной аутентификации TLS (ta.key);
• [Отмена] - форма для заполнения исчезает;
• [Отозвать сертификат] - применяется для запрета подключений клиента, даже тогда, когда в распоряжении клиента имеются копии всех сертификатов и ключей. Доступен после выделения клиентского сертификата в строке таблицы «Клиенты». Клиентский сертификат выделяется щелчком любой кнопки мыши на строке таблицы. При выполнении операции:
• сертификат установленного клиента помечается в базе данных удостоверяющего центра как «отозванный»;
• создается или обновляется ранее созданный список отозванных сертификатов;
• новый список отозванных сертификатов копируется в каталог /etc/openvpn/keys, и сервер openvpn автоматически перезапускается, чтобы обновления немедленно вошли в силу;
• [Открыть директорию сертификатов] - каталог /etc/openvpn/clients_keys открывается в файловом менеджере.