リモートデスクトップ接続の設定例前編（仮想プライベートネットワークの構築）

リモートデスクトップ接続の設定例を示します。前編では、その準備段階として、OpenVPN を使用して、仮想プライベートネットワークを構築する為の証明書と鍵（錠前）を作成します。

このページでは、Windows XP Professional のサーバー機に Windows のクライアント機をインターネット経由で VPN 接続する例を示します。サーバー機とクライアント機には、各々ルータが設置されていることを想定しています。OpenVPN の構築に当って、OpenVPN 2.0 HOWTO 日本語訳とOpenVPN 日本語情報サイト《プラムシステムズ株式会社》を参考にさせて頂きました。自宅サーバー機がすでに稼動している方は、追加費用は、ゼロです。尚、サーバー機とクライアント機は、どちらも非固定 IPアドレスでもVPN を構築可能ですが、セキュリティ上、どちらも固定 IPアドレスであることを推奨します。（月に1000円程度の負担で、固定 IPアドレス環境になれます。）

CA（認証局）と証明書と鍵の作成方法については、OpenVPN-2.0.5 証明書を使う [FC4]に判りやすい説明がありました。このページでは、もっと簡単にかつWindows的？な作成方法を提示します。仮想プライベートネットワークについては、下記のサイトを事前にご一読されることをお奨めします。

尚、この設定例は、以下の環境で動作の確認を行いました。

サーバー機－デスクトップパソコン（Windows XP Professional Service Pack 3 、CPU：celeron 1.80GHz 512MB RAM）
クライアント機1－ノートPC（Windows XP HOME EDITION Version 2002 Service Pack 3 、CPU：Mobile AMD Sempron Processor 3100+ 1.80GHz 512MB RAM）
クライアント機2－ノートPC（Windows Vista HOME Premium Service Pack 1 、CPU：Core2 CPU T5500 1.66GHz 1G RAM）

設定の方針は、

インストール先や設定ファイルは、極力そのまま使用した。
OpenVPN は、最新版を導入するため、日本語版は使用しない。
CA（認証局）と証明書と鍵の作成方法については、誤入力防止と入力データの再現性を重視して、Windows のコピー&ペーストを活用した作業を行なう。
初めての人でも、間違いなく、2台のPC機へのインストールから OpenVPN 構築完了まで、2日間程度を想定（クライアント証明書の発行は、3個として）。

という相当クセのある方法となっています。

1. はじめに

私は会社で、AUTOCADで作成されたデータのインデックスをWindows XPで作成し、全文検索システム（ NAMAZU ）を構築しています。Windows にも FastCopy というネット越しの同期（差分）高速コピーができるフリーソフトがあり、非常に助かりました。

必要に迫られて、VPN を構築した訳ではありませんが、大変興味深く面白い内容でした。会社が固定 IPアドレスなので、OpenVPN の構築は、予想以上に簡単でした。この面白さが伝えられたらと、Webページに書いた次第です。

上記の様な訳で、会社にあるWindows XP Professional のサーバー機を自宅からリモート操作して、楽をしようと考えています。Windows に標準インストールされているリモートデスクトップ接続は、素晴らしく、ファイルのコピーも簡単です。こういう便利なソフトには必ずセキュリティホールがあるという考えで、VPN とWindows ファイアウォールを設定することにしました。

尚、Windows XP HOME EDITION 等のサーバー機を自宅からリモート操作したい場合は、リモートデスクトップ接続が使用できません。これらの場合、UltraVNC ( UltraVNC 日本語版 | NANASI's Home Page )等を追加インストールし、Windows ファイアウォールを設定して下さい。（このページでは、解説していません。）

2. 概要

3. インストール

4. コマンドプロンプト画面の変更

コマンドプロンプト画面での作業が多くなるので、まずコマンドプロンプト画面の変更を行います。コマンドプロンプト画面の上部の表題バーで、下図の様に右クリックして、プロパティを左クリックし、コマンドプロンプトのプロパティを開けます。

下図の様に変更して、UNIX のワークステーション端末の様にします。（コマンドプロンプト画面で、コピーや貼り付けが出来る様になります。）

設定が終わったら、「OK」を押します。今後もこのコマンドプロンプト画面を使用し続けるので、「ショートカットへのプロパティの適用」画面で、「このウィンドウを起動したショートカットを変更する」を選択して、「OK」を押します。

5. 証明書と鍵データ作成前の事前準備

6. 証明書と鍵データの作成

コマンドプロンプト画面より、証明書と鍵を作成します。クライアント用の証明書と鍵は、1つあれば、試験出来ますが、とりあえず3つ作成します。
画面では、水色がコマンド入力、緑色が得られた結果の注目すべき表示、赤色が注目すべき説明としています。

コマンドプロンプト画面より、上記のコマンド入力を行って、証明書と鍵を作成している内容を下記に示します。
画面では、水色がコマンド入力、緑色が得られた結果の注目すべき表示、赤色が注目すべき説明としています。

C:\>cd \Program Files\OpenVPN\easy-rsa　　　　　　<----証明書と鍵の作成時の場所移動。

C:\Program Files\OpenVPN\easy-rsa>init-config　<----インストール後の1回だけ、必ず実行する。

C:\Program Files\OpenVPN\easy-rsa>copy vars.bat.sample vars.bat
 1 個のファイルをコピーしました。

C:\Program Files\OpenVPN\easy-rsa>copy openssl.cnf.sample openssl.cnf
 1 個のファイルをコピーしました。

C:\Program Files\OpenVPN\easy-rsa>vars　<----------環境変数の設定で、コマンドプロンプト画面で本作業をする前に必ず実行すること。

C:\Program Files\OpenVPN\easy-rsa>clean-all　<------全証明書と鍵の消去。

 1 個のファイルをコピーしました。
 1 個のファイルをコピーしました。

C:\Program Files\OpenVPN\easy-rsa>build-ca　<-------CA(認証局)の証明書と鍵の作成。
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.................++++++
...................................................++++++
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:JP　<----------ここで、build-ca.input.txt の内容を全てコピーし、右クリックして張り付ける。
State or Province Name (full name) [OSAKA]:OSAKA
Locality Name (eg, city) [MINOU]:MINO
Organization Name (eg, company) [OpenVPN]:OpenVPN
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA
Email Address [abuse@example.jp]:abuse@example.jp

C:\Program Files\OpenVPN\easy-rsa>build-key-server server　<---サーバー証明書と鍵の作成。
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.......................++++++
.........................++++++
writing new private key to 'keys\server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:JP　<----------ここで、build-key-server.input.txt の内容を全てコピーし、右クリックして張り付ける。
State or Province Name (full name) [OSAKA]:OSAKA
Locality Name (eg, city) [MINOU]:MINO
Organization Name (eg, company) [OpenVPN]:OpenVPN
Organizational Unit Name (eg, section) []:10.8.0.0/24
Common Name (eg, your name or your server's hostname) []:server
Email Address [abuse@example.jp]:abuse@example.jp

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'JP'
stateOrProvinceName :PRINTABLE:'OSAKA'
localityName :PRINTABLE:'MINO'
organizationName :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'10.8.0.0/24'
commonName :PRINTABLE:'server'
emailAddress :IA5STRING:'abuse@example.jp'
Certificate is to be certified until Feb 22 09:29:51 2019 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>build-key client1　<---クライアント1証明書と鍵1の作成。
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...................................++++++
...........++++++
writing new private key to 'keys\client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:JP　<----------ここで、build-key clientA.input.txt の内容を全てコピーし、右クリックして張り付ける。
State or Province Name (full name) [OSAKA]:OSAKA
Locality Name (eg, city) [MINOU]:MINO
Organization Name (eg, company) [OpenVPN]:OpenVPN
Organizational Unit Name (eg, section) []:10.8.0.0/24
Common Name (eg, your name or your server's hostname) []:OpenVPN-client1　<---ここで、1を入力して、エンターを押す。
Email Address [abuse@example.jp]:abuse@example.jp　<---ここで、build-key clientB.input.txt の内容を全てコピーし、右クリックして張り付ける。

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'JP'
stateOrProvinceName :PRINTABLE:'OSAKA'
localityName :PRINTABLE:'MINO'
organizationName :PRINTABLE:'OpenVPN'
organizationalUnitName:PRINTABLE:'10.8.0.0/24'
commonName :PRINTABLE:'OpenVPN-client1'
emailAddress :IA5STRING:'abuse@example.jp'
Certificate is to be certified until Feb 22 09:30:59 2019 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

C:\Program Files\OpenVPN\easy-rsa>build-key client2　<----------クライアント2証明書と鍵2の作成、F3キーを押して、client1を2にする。


.........................................　以下、同様に必要数のclientを作成する　.............................................



C:\Program Files\OpenVPN\easy-rsa>build-dh　<----------OpenVPNサーバー用Diffie Hellmanパラメータの作成。
Loading 'screen' into random state - done
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
......+.....................+..................................+.....................
.............................................................+.................+.....
......................+................................................+..++*++*++*

C:\Program Files\OpenVPN\easy-rsa>

注）画面では、水色がコマンド入力、緑色が得られた結果の注目すべき表示、赤色が注目すべき説明としております。

以上で、証明書と鍵が作成できました。
VPN サーバーに必要なファイル－－－－ca.crt 、server.crt 、server.key 、dh1024.pem
VPN クライアントに必要なファイル－－－ca.crt 、client1.crt 、client1.key

今後、クライアントの証明書と鍵を追加作成する場合は、コマンドプロンプト画面を起動し、「 cd \Program Files\OpenVPN\easy-rsa 」と入力して、作業フォルダに移動後、「 vars 」と入力して、画面の環境変数を設定して下さい。