NoNoBzH

Dans le billet précédent, on as vu comment faire en sorte que OpenSSL puisse utiliser le padlock sous environnement 64 bits. C’est bien mais pas suffisant ! Maintenant il faut qu’il soit utilisé dans toutes les applications qui utilisent OpenSSL.

• OpenSSL

Un ajout de quelques lignes dans le fichier de configuration d’OpenSSL (/etc/ssl/openssl.cnf) suffit pour utiliser le padlock par défaut.
Après les ligne :

# Extra OBJECT IDENTIFIER info:
#oid_file               = $ENV::HOME/.oid
oid_section             = new_oids

Ajouter :

openssl_conf = openssl_def
[openssl_def]
engines = openssl_engines
[openssl_engines]
padlock = padlock_engine
[padlock_engine]
default_algorithms = ALL

A partir de maintenant, le padlock sera utilisé par défaut pour toutes les applications ayant besoin de SSL (scp, sftp, ssh, openvpn, …)

• OpenVPN

Petite spécificité d’OpenVPN, par défaut il utilise le cryptage blowfish qui n’est pas supporté par le padlock.

Première chose, vérifier que OpenVPN détecte bien le padlock :

$ openvpn --show-engines
OpenSSL Crypto Engines
VIA PadLock (no-RNG, ACE) [padlock]
Dynamic engine loading support [dynamic]

Dans la partie serveur uniquement, dans le fichier de configuration, rajouter :

engine padlock

Ensuite dans les fichiers de configuration du serveur ET des clients, il faut préciser le cryptage à utiliser :
cipher AES-256-CBC

Et voilà, vos connections VPN vont être boostées !

Source et Source