Generarea cheilor RSA pentru OpenVPN se face în câțiva pași simpli.
Dar înainte de a începe să generăm cheile, trebuie să luăm decizii cu privire la unele puncte.
Avem nevoie?
Atunci când se generează chei de client, este important să înțelegeți că cheia clientului poate fi una "personală" sau "cooperantă" una pentru mai mulți clienți și chiar unul pentru toți clienții.
Varianta de utilizare a cheii client este determinată de o opțiune din fișierul de configurare de pe serverul OpenVPN. Opțiunea de pe server vă permite să refuzați sau să permiteți conectarea la server dacă clientul cu o astfel de cheie a fost deja conectat la server.
Pentru a gestiona certificate în livrarea OpenVPN sunt simple de utilizat scripturi care vă permit să efectuați manipulări dificile cu programe neclare și parametrii lor. Dar mai întâi trebuie să configurați aceste scripturi.
Este vorba despre Linux în special Red Hat Fedora. Fedora are aceste script-uri situate în /usr/share/openvpn/easy-rsa/2.0/
De obicei, copiază aceste scripturi în directorul home / home / user001 / openvpn-easy-rsa / și acolo manipulez scripturile.
În primul rând, pentru generarea cheilor, nu sunt necesare drepturi de administrare. În al doilea rând, pentru securitate, cheile private obținute nu pot fi afișate nimănui, dar în directorul lor de acasă vor fi vizibile pentru toți utilizatorii mașinii în care au fost generați. În al treilea rând, îmi place că totul era în directoare de lucru.
Dacă cineva nu dorește să pătrundă în descrierile comenzilor, la sfârșitul paginii există o scurtă listă de comenzi pentru generarea cheilor. Configurați fișierul vars și în calea.
Configurarea scripturilor
Deschideți fișierul vars și modificați următoarele câmpuri după cum doriți. Dar ele nu pot fi goale. Deci, este scris în documentație :)
Limita pentru lungimea câmpului KEY_EMAIL este de 40 de caractere.
pe câmpul KEY_COUNTRY - 2 caractere
IMPORTANT
Rețineți, dacă nu aveți un subdirector de chei sau este gol, fără fișiere (dacă nu ați generat încă cheile), este obligatoriu să efectuați scriptingul. / Clean-all
El face două lucruri
- Elimină toate din acest director. Atenție! El nu cere confirmarea
- Creează două fișiere în acest subdirector
chei / index.txt - gol
chei / serial - care conține o linie 01, acesta va fi numărul de serie al primei taste semnate.
Fără aceasta, atunci când generați chei de server și client, veți primi erori:
Generarea autorizației de certificare
Generarea propriului dvs. certificat de autorizare abreviat (CA) se face folosind script-ul build-ca.
Vreau să vă avertizez că nu trebuie să rulați aceste scripturi de sub MC (Midnight Commander) deoarece variabilele din scriptul vars sunt pierdute la lansarea următorului script. Porniți totul dintr-o coajă curată.
Generarea cheii de server și semnarea acesteia cu CA
Diffie Hellman Key
Cheia Diffie Hellman este utilizată pentru a face schimb de chei între client și server. Nu depinde de nimic complet independent, folosește doar calea către dosarul de ieșire și lungimea cheii.
Datorită faptului că am setat dimensiunea cheii la 2048 de biți, generația de chei Diffie Hellman va merge mult.
Nu am citat ecranul complet, pentru că asta nu are sens.
Generați numărul necesar de chei pentru clienți.
Am nevoie de 3 chei pentru 3 clienți VPN. Acțiunea se va repeta de 3 ori schimbând numai numele transferat în scenariu
Și, în sfârșit, faceți ultima cheie pentru server și client. Nu este necesar, dar scopul său este de a preveni
mergeți la directorul cu cheile și executați această comandă (mașina care porneste ar trebui să aibă instalat openvpn
Selectați fișierele pe care doriți să le copiați pe server și pe care le faceți clienților
Deci cheile sunt generate. După generarea cheii TA, am rămas în directorul cu chei.
Ouch! Un utilizator neexperimentat captează pur și simplu spiritul din acest număr de fișiere. Ce să aleg?
Este simplu pentru server să aleagă tastele:
ca.crt
dh2048.pem
ta.key
mi-personal-vpn-server.crt
mi-personal-vpn-server.key
Pentru clientul client1
ca.crt
ta.key
mi-personal-vpn-client1.crt
mi-personal-vpn-client1.key
Și așa mai departe ...
Pentru a aranja toate punctele de mai sus, am dat o tabletă așa cum a fost pe site-ul OpenVPN.