Generarea de taste OpenVPN
1. Introducere
Pentru a genera certificate și chei de serviciu (server și clienți), utilizați pachetul easy-rsa.
Descrierea fișierelor (chei de directoare):
- Fișiere * .csr - Solicitări de semnare a certificatelor (SO)
- Fișierele .pem - Certificate duplicate pentru baza de date (SO)
- index.txt - Baza de date a certificatelor emise (SC)
- serial - Număr serial (serial) al ultimului certificat emis (SO)
- crl.pem - Lista certificatelor revocate (SO)
- ca.crt - Certificat root (SO / server / client)
- ca.key - Tasta root (SO)
- dh n .pem - Cheia lui Diffie Helman (server)
- server-name .crt - certificat de server X.509 (server)
- nume-server-cheie. - Cheia secretă a serverului (server)
- client-name .crt - Certificat client X.509 (client)
- client-name .key - cheia secretă a clientului (client)
- ta.key - cheie TLS (server / client)
2. Generarea cheilor de server
Notă: operațiile descrise în această secțiune sunt efectuate o singură dată, în timpul instalării serverului.
Accesați directorul easy-rsa al serverului OpenVPN. Asigurați-vă că fișierele ca.crt și ca.key sunt prezente în directorul centrului de certificare (SO) al serverului.
Du-te la shell sh:
Setați variabilele de mediu:
Creați un certificat server-server nume:
Notă: Numele serverului trebuie să se potrivească cu numele gazdă al serverului (vedeți uname -a).
Creați un fișier parametru Diffie-Hellman:
openvpn --genkey - secret ta.key
Creați un fișier de revocare a certificatului (CRL):
export KEY_CN = ""
export KEY_OU = ""
deschide ca -config openssl.cnf -gencrl -out chei / crl.pem
3. Generarea și emiterea de chei către client
Accesați directorul easy-rsa al serverului OpenVPN. Asigurați-vă că fișierele ca.crt și ca.key sunt prezente în directorul centrului de certificare (SO) al serverului.
Du-te la shell sh:
Setați variabilele de mediu:
Crearea unui certificat client-client:
client
dev tun0
proto tcp
la distanță SERVER_IP PORT_NUMBER
resolv-retry infinit
nobind
script-security 3 sistem
ca /usr/local/etc/openvpn/keys/ca.crt
cert / usr / local / etc / openvpn / chei / client-name .crt
cheie / usr / local / etc / openvpn / chei / client-nume
tls-auth /usr/local/etc/openvpn/keys/ta.key 1
comp-LZO
verb 3
Eliberați următoarele fișiere clientului client-nume:
ca.crt
numele clientului .crt
client-nume
ta.key
openvpn.conf
4. Comenzi de administrare
Revocați certificatul de client client-nume: