Onglet Vpn-pki

Sphynx fonctionne aussi bien avec des certificats auto-signés qu'en mode certificats signés pour le réseau AGRIATES[1].

Par défaut, l'instanciation du module Sphynx génère une base ARV minimale avec uniquement les modèles de serveur sphynx et etablissement.

Un script nommé init_sphynx permet de générer une base ARV adaptée au réseau AGRIATES.

Il est possible d'utiliser la nouvelle PKI PNCN[2] ou l'ancienne PKI RACINE AGRIATES.

Les tunnels VPN sont actuellement basés sur la PKI RACINE AGRIATES mais la nouvelle PKI PNCN va prochainement la remplacer. La configuration OpenSSL préparée par le module pour effectuer les requêtes auprès de l'IGC est conditionnée par la variable Utiliser la PKI PNCN.

Utilisation de l'ancienne PKI RACINE AGRIATES

Configuration du VPN sur Sphynx
Configuration du VPN sur Sphynx
  • Taille de la clé RSA : champ pré-rempli et obligatoire ;

  • Nom de l'organisation : champ pré-rempli et obligatoire ;

  • Nom de l'unité de l'organisation : champ pré-rempli et obligatoire ;

  • URL des listes de révocation des certificats : les URL de révocation fournies par l'IGC sont à placer ici, cette variable est optionnelle car ces URL sont dorénavant intégrées aux certificats.

Utilisation de la nouvelle PKI PNCN

Pour utiliser la nouvelle PKI PNCN[2] il faut passer la variable Utiliser la PKI PNCN à oui. Un champ supplémentaire concernant la localité est à remplir obligatoirement.

  • Taille de la clé RSA : champ pré-rempli et obligatoire ;

  • Localité : champ obligatoire ;

  • Nom de l'organisation : champ pré-rempli et obligatoire ;

  • Nom de l'unité de l'organisation : champ et obligatoire ;

    Il est impératif de respecter l'ordre des OU : Academie de nomAcademie - 0002 110043015

    Vous trouverez plus de détails sur le site du pôle PNCN à l'adresses suivante :

    • https://pole.pncn.education.gouv.fr/content/demande-dun-certificat-scolarité-et-formation
  • URL des listes de révocation des certificats : les URL de révocation fournies par l'IGC sont à placer ici, cette variable est optionnelle car ces URL sont dorénavant intégrées aux certificats.

Filtrage des tunnels

Il est possible d'autoriser les communications entre deux serveurs Amon en passant par le concentrateur Sphynx, il faut pour cela renseigner les différentes adresses réseaux à filtrer.

Parmi les paramètres il faut spécifier le réseau source, le réseau destination, le protocole ainsi que les ports autorisés à communiquer entre eux.