Activer le padlock par défaut dans OpenSSL et OpenVPN
Dans le billet précédent, on as vu comment faire en sorte que OpenSSL puisse utiliser le padlock sous environnement 64 bits. C’est bien mais pas suffisant ! Maintenant il faut qu’il soit utilisé dans toutes les applications qui utilisent OpenSSL.
- OpenSSL
Un ajout de quelques lignes dans le fichier de configuration d’OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.
Après les ligne :
# Extra OBJECT IDENTIFIER info: #oid_file = $ENV::HOME/.oid oid_section = new_oids
Ajouter :
openssl_conf = openssl_def [openssl_def] engines = openssl_engines [openssl_engines] padlock = padlock_engine [padlock_engine] default_algorithms = ALL
A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, …)
- OpenVPN
Petite spécificité d’OpenVPN, par défaut il utilise le cryptage blowfish qui n’est pas supporté par le padlock.
Première chose, vérifier que OpenVPN détecte bien le padlock :
$ openvpn --show-engines OpenSSL Crypto Engines VIA PadLock (no-RNG, ACE) [padlock] Dynamic engine loading support [dynamic]
Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :
engine padlock
Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :
cipher AES-256-CBC
Et voilà, vos connections VPN vont être boostées !