Nasohi Ciptandani

Ada beberapa software Public Key Infrastructure CA seperti OpenSSL, EJBCA, GnuTLS dll. Untuk provider ada digicert, comodo, let's encrypt, dll. Kali ini akan mencoba menggunakan Microsoft Active Directory Certificate Services dengan fitur web enrollment. Selain melalui script, command, MMC certificate. Web enrollment merupakan salah satu yang bisa digunakan mendownload CA, melakukan request dan sign sertifikat, dll. Contoh: - Certificates signed by ADCS Pertama install ADCS Certificat Authority dan Web enrollment melalui server manager. Setelah terinstall, konfigurasi CA melalui server manager juga, kemudian untuk web enrollment bisa di akses melalui URL  http://192.168.1.90/certsrv/  sesuikan dengan IP anda. Download CA CA ini yang biasanya di install di sistem atau browser agar tidak muncul sertifikat warning saat mengakses service seperti WWW, MAIL, FTP, VPN, dll. Gambar Download CA Untuk membuat sertifikat melalui web enrollment perlu membuat terlebih dah

Berikut adalah cara simple konfigurasi OpenVPN Cara ini tidak pakai autentikasi dan enkripsi jadi tidak aman, namun untuk belajar/testing bagus untuk dicoba karena nanti banyak pilihan untuk autentikasi seperti via pam, via radius, via ldap, via tls, begitu juga untuk enkripsi. Konfigurasi di Server1 Server1 # openvpn --dev tun2 --port 1195 --ifconfig 1.1.1.1 1.1.1.2 Konfigurasi di Server2 Server2 # openvpn --remote 100.100.100.2 --dev tun2  --port 1195 --ifconfig 1.1.1.2 1.1.1.1 100.100.100.2 ip interface server1 Perintah diatas berjalan di console dan akan membuat sebuah interface tunnel, server1 akan menggunakan ip 1.1.1.1 dan server2 akan menggunakan ip 1.1.1.2. Bisa saling ping. Konfigurasi diatas bersifat sementara, untuk membuat permanen bisa di simpan di file .conf openvpn, bash script, dll. Referensi https://wiki.debian.org/OpenVPN

Mac OS X sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/new-root-certificate.crt Windows Manual certutil -addstore -f "ROOT" new-root-certificate.crt Automatic Join domain GNU/Linux (Debian/Ubuntu) Copy your CA to dir /usr/local/share/ca-certificates/ Use command: sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt Update the CA store: sudo update-ca-certificates

HQLAN-----192.168.1.0/24----------------HQRTR<.10------1.1.2.0/25---------.11->BRANCHRTR-------192.168.2.0/24--------BRANCHLAN Agar HQLAN bisa terhubung ke BRANCHLAN tentu ada beberapa cara seperti default route, static route, dynamic route, untuk keamanan bisa melalui VPN lewat tunnel, dll. Perlu diperhatikan dan disesuikan dengan project yang  dihadapi, biasanya untuk koneksi ke internet ISP menggunakan default route artinya router akan menyerahkan semua jalur route nya (0.0.0.0) ke router milik ISP namun bisa juga pakai cara lain. Untuk menghubungkan network di kedua router bisa hanya menggunakan konfigurasi sederhana di file /etc/network/interfaces namun untuk trafik belum memiliki keamanan ketika berada di jalur internet. Konfigurasi static route dan dynamic route bisa juga dilakukan di command line, di software quagga, software VPN, dll. Setiap OS memiliki cara konfigurasi sendiri-sendiri. Untuk konfigurasi di HQRTR misalnya memakai linux debian/ubuntu tambahk

Berikut adalah rangkuman cara mengubah RootDN password atau admin password openldap jika lupa atau mau diganti Mengubah RootDN Password Menemukan informasi Current RootDN ldapsearch -H ldapi:// -LLL -Q -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" dn olcRootDN olcRootPW | tee ~/newpasswd.ldif Informasi yang keluar seperti berikut RootDN and RootPW for DIT dn: olcDatabase={1}hdb,cn=config olcRootDN: cn=admin,dc=example,dc=com olcRootPW: {SSHA}ncCXAJ5DjfRWgxE9pz9TUCNl2qGQHQT3 Membuat hashing untuk password baru /usr/sbin/slappasswd -h {SSHA} >> ~/newpasswd.ldif Mengubah password di Config DIT nano ~/newpasswd.ldif Informasi yang muncul seperti berikut dn: olcDatabase={1}hdb,cn=config olcRootDN: cn=admin,dc=example,dc=com olcRootPW: {SSHA}ncCXAJ5DjfRWgxE9pz9TUCNl2qGQHQT3 {SSHA}lieJW/YlN5ps6Gn533tJuyY6iRtgSTQw Ubahlah menjadi hanya seperti berikut dn: olcDatabase={1}hdb,cn=config # olcRootDN: cn=admin,dc=example,dc=com changetyp