Установка easy-rsa и геренарция сертификатов сервера и клиента для OpenVPN
Установка easy-rsa# yum -y install easy-rsa
Копируем в папку OpenVPN
# mkdir -p /etc/openvpn/easy-rsa/keys
# cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa
Отредактируем файл /etc/openvpn/easy-rsa/vars
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="ca@example.com"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="Example Key"
export KEY_CN="example.com"
*Выставите ваши значения. При генерации сертификата вам не нужно будет их вводить.
*При создании сертификатов для удобства можно пароль не задавать
Сгенерируем корневой сертификат
# cd /etc/openvpn/easy-rsa
# source ./vars
# ./clean-all
# ./build-ca
Сгенерируем Diffie Hellman ключ
# ./build-dh
Сгенерируем сертификат для роли "сервер"
# ./build-key-server server
Копируем сгенерированное в папку openvpn
# cp dh2048.pem ca.crt server.crt server.key /etc/openvpn
Сгенерируем сертификаты для криента (Office2)
# cd /etc/openvpn/easy-rsa
# ./build-key client-office2
Копируем ca.crt, client-office2.crt client-office2.key на сервер OpenVPN в Офисе2
Желательно в отдельную директорию, чтобы не запутаться в будущем
/etc/openvpn/keys-office1-to-office2/
Скопировать можно при помощи WinSCP.
Готово!
Для отзыва сертификатов
# cd /etc/openvpn/easy-rsa
# source ./vars
# revoke-full client
Посмотреть список отозванных сертификатов
# ./list-crl
[easy-rsa]# ./list-crl
crl.pem: No such file or directory
Решение
# cd /etc/openvpn/easy-rsa
# source vars
# openssl ca -gencrl -out ${KEY_DIR}/crl.pem -config $KEY_CONFIG
Комментариев нет:
Отправить комментарий