воскресенье, 20 ноября 2016 г.

Создание сертификатов для OpenVPN на CentOS7


Установка easy-rsa и геренарция сертификатов сервера и клиента для OpenVPN
Установка easy-rsa
# yum -y install easy-rsa

Копируем в папку OpenVPN
# mkdir -p /etc/openvpn/easy-rsa/keys
# cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa

Отредактируем файл /etc/openvpn/easy-rsa/vars
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="ca@example.com"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="Example Key"
export KEY_CN="example.com"
*Выставите ваши значения. При генерации сертификата вам не нужно будет их вводить.

*При создании сертификатов для удобства можно пароль не задавать

Сгенерируем корневой сертификат
# cd /etc/openvpn/easy-rsa
# source ./vars
# ./clean-all
# ./build-ca

Сгенерируем  Diffie Hellman ключ
# ./build-dh

Сгенерируем сертификат для роли "сервер"
# ./build-key-server server

Копируем сгенерированное в папку openvpn
# cp dh2048.pem ca.crt server.crt server.key /etc/openvpn

Сгенерируем сертификаты для криента (Office2)
# cd /etc/openvpn/easy-rsa
# ./build-key client-office2

Копируем ca.crt, client-office2.crt client-office2.key на сервер OpenVPN в Офисе2
Желательно в отдельную директорию, чтобы не запутаться в будущем
/etc/openvpn/keys-office1-to-office2/
Скопировать можно при помощи WinSCP.

Готово!

Для отзыва сертификатов
# cd /etc/openvpn/easy-rsa
# source ./vars
# revoke-full client

Посмотреть список отозванных сертификатов
# ./list-crl

[easy-rsa]# ./list-crl
crl.pem: No such file or directory
Решение
# cd /etc/openvpn/easy-rsa
# source vars
# openssl ca -gencrl -out ${KEY_DIR}/crl.pem -config $KEY_CONFIG
 

Комментариев нет:

Отправить комментарий