Dans le billet précédent, on as vu comment faire en sorte que OpenSSL puisse utiliser le padlock sous environnement 64 bits. C’est bien mais pas suffisant ! Maintenant il faut qu’il soit utilisé dans toutes les applications qui utilisent OpenSSL.
- OpenSSL
Un ajout de quelques lignes dans le fichier de configuration d’OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.
Après les ligne :
# Extra OBJECT IDENTIFIER info: #oid_file = $ENV::HOME/.oid oid_section = new_oids
Ajouter :
openssl_conf = openssl_def [openssl_def] engines = openssl_engines [openssl_engines] padlock = padlock_engine [padlock_engine] default_algorithms = ALL
A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, …)
- OpenVPN
Petite spécificité d’OpenVPN, par défaut il utilise le cryptage blowfish qui n’est pas supporté par le padlock.
Première chose, vérifier que OpenVPN détecte bien le padlock :
$ openvpn --show-engines OpenSSL Crypto Engines VIA PadLock (no-RNG, ACE) [padlock] Dynamic engine loading support [dynamic]
Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :
engine padlock
Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :
cipher AES-256-CBC
Et voilà, vos connections VPN vont être boostées !
Une réponse sur « Activer le padlock par défaut dans OpenSSL et OpenVPN »
[…] Maintenant, il faut configurer OpenSSL pour utiliser par défaut le padlock : c’est par ici […]