How to generate TLS certificates

TLS หรือ Transport Layer Security เป็นโปรโตคอลการเข้ารหัสที่ใช้ในการรักษาความปลอดภัยในการสื่อสารผ่านเครือข่ายคอมพิวเตอร์ที่ใช้กันอย่างแพร่หลาย โดยมีวัตถุประสงค์หลักเพื่อรักษาความเป็นส่วนตัวและความสมบูรณ์ของข้อมูลที่สื่อสารกันระหว่างสอง Applications

OpenVPN ก็เป็น Application หนึ่งทีนิยมใช้ TLS ในการรักษาความปลอดภัยในการเชื่อมต่อ โดยการเลือกใช้ Autentication แบบ TLS นั้นต้องใช้ใบรับรอง (certificates) และคีย์ (keys) หลายรายการสำหรับการตรวจสอบสิทธิ์

ฝั่ง VPN Server ต้องใช้

• The root certificate file (Certificate Authority)

• Server certificate

• Server key

• Diffie Hellman Parameters

ฝั่ง OpenVPN client ต้องใช้

• The root certificate file (Certificate Authority)

• Client certificate

• Client key

บทความนี้เป็นคู่มือแนะนำวิธีสร้าง TLS certificates และ keys เพื่อใช้ในการเชื่อมต่อ OpenVPN ทั้งฝั่ง Server และ Client สำหรับผู้ใช้ระบบปฏิบัติการ Windows

ขั้นตอนที่ 1: ติดตั้ง OpenVPN software >>Download<< (https://openvpn.net/community-downloads/ )

เมื่อ Run ไฟล์ติดตั้งเลือก Setup Type เป็น

เมื่อเข้าถึงหน้า Custom Installation เลื่อนหา OpenSSL Utilities → EasyRSA 3 Certificate Management Scripts เลือก Will be installed on local hard drive และกด Install Now

ขั้นตอนที่ 2: มาสร้าง TLS certificates และ keys กันเลย

เราจะใช้แอปพลิเคชัน EasyRSA 3 ที่ติดตั้งพร้อมกับ OpenVPN ในขั้นตอนที่ 1 ในการสร้าง certificates และ keys โดยต้องใช้ Windows Command Prompt ในการพิมพ์คำสั่ง EasyRSA

• เปิด Windows Command Prompt ด้วยสิทธิ์ Administrator ด้วยการพิมพ์ cmd ลงใน Windows search bar (Windows button + S) แล้ว Click ขวา เลือก Run as administrator
  

  

• เริ่มพิมพ์ Command ดังนี้

  • เปลี่ยน directory ปัจจุบันไปเป็นโฟลเดอร์ EasyRSA โดยใช้คำสั่ง
    cd "C:\Program Files\OpenVPN\easy-rsa" (ตาม Path ที่เราติดตั้ง OpenVPN ในขั้นตอนที่ 1)

  • เปิด EasyRSA โดยใช้คำสั่ง
    EasyRSA-Start.bat
    จะเข้าสู่หน้าต่างดังภาพ

    

  • Initialize directory Public Key Infrastructure (PKI) โดยคำสั่ง
    ./easyrsa init-pki
    เมื่อ run คำสั่ง หน้าต่างจะแจ้ง Warning ลบไฟล์ ให้ตอบ yes
    

    

    
    เพื่อเตรียม directory ให้พร้อมสำหรับการสร้างไฟล์ หากเข้าดูจาก File Explorer หลังใช้คำสั่ง Initialize ไฟล์ใน folder จะมีดังภาพ
    

    

  • เปิด vars.bat ไฟล์ด้วย Notepad เพื่อแก้ไขข้อความด้วยคำสั่ง
    notepad vars.bat

    

    นี่คือไฟล์ template ที่ใช้ในการ generating certificates ข้อมูลที่เก็บไว้ที่นี่จะถูกใช้เป็นค่าเริ่มต้นในการสร้าง certificate สามารถแก้ไขข้อความหลัง = ในแต่ละบรรทัดได้ตามความต้องการ จากนั้นกด Save ในหน้าต่าง Notepad แล้วปิด Notepad ไป

  • กำหนดขนาดคีย์สำหรับ Diffie Hellman parameters ด้วยคำสั่ง
    set DH_KEY_SIZE=2048

  • ตรวจสอบข้อมูลที่คุณบันทึกในไพล์ var.bat ด้วยคำสั่ง
    vars.bat
    ข้อมูลที่แสดงตรงกับที่บันทึก

    

  • หลังจากนั้น Run Command
    ./easyrsa clean-all
    Warning ลบไฟล์ ให้ตอบ yes

  • เริ่มสร้าง certificates และ keys โดยสร้าง certificate authority (CA) ซึ่งเป็นไฟล์หลักก่อนด้วยคำสั่ง
    ./easyrsa build-ca nopass
    และใส่ชื่อ Server Name ของคุณ

    

  • ต่อไปสร้าง server certificate และ key ด้วยคำสั่ง
    ./easyrsa build-server-full server nopass

  • และสร้าง clients certificates และ keys ด้วยคำสั่ง
    ./easyrsa build-client-full Client1 nopass
    เปลี่ยน Client1 เป็น client's Common Name (CN) ที่คุณต้องการ หาก VPN System ของคุณมี VPN Client หลาย Site ให้ Run คำสั่งเดิม และ เปลี่ยน client's Common Name (CN) ไปเรื่อยๆ ให้ครบตามจำนวน Client Site

  • และสุดท้าย Generate Diffie Hellman parameters ด้วยคำสั่ง
    ./easyrsa gen-dh

หลังจากที่สร้างไฟล์ทั้งหมดเสร็จสิ้น เราจะได้ TLS Ccertificates และ Keysทั้งหมดที่จำเป็นต้องใช้ในการสร้างการเชื่อมต่อ OpenVPN โดยไฟล์ต่างๆ จะไปอยู่ตาม Directories ดังนี้

สามารถเข้าไป Copy ไฟล์ต่างๆ มาใช้ได้ในขั้นตอนการสร้าง VPN เพื่อการเชื่อมต่อค่ะ