NoNoBzH

Activer le padlock par défaut dans OpenSSL et OpenVPN

Dans le billet précédent, on as vu comment faire en sorte que OpenSSL puisse utiliser le padlock sous environnement 64 bits. C’est bien mais pas suffisant ! Maintenant il faut qu’il soit utilisé dans toutes les applications qui utilisent OpenSSL.

Un ajout de quelques lignes dans le fichier de configuration d’OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.
Après les ligne :

# Extra OBJECT IDENTIFIER info:
#oid_file               = $ENV::HOME/.oid
oid_section             = new_oids

Ajouter :

openssl_conf = openssl_def
[openssl_def]
engines = openssl_engines
[openssl_engines]
padlock = padlock_engine
[padlock_engine]
default_algorithms = ALL

A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, …)

Petite spécificité d’OpenVPN, par défaut il utilise le cryptage blowfish qui n’est pas supporté par le padlock.

Première chose, vérifier que OpenVPN détecte bien le padlock :

$ openvpn --show-engines
OpenSSL Crypto Engines
VIA PadLock (no-RNG, ACE) [padlock]
Dynamic engine loading support [dynamic]

Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :

engine padlock

Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :
cipher AES-256-CBC

Et voilà, vos connections VPN vont être boostées !

Source et Source

Quitter la version mobile