Шаг 1 Начало

Создание запроса сертификата сервера OpenVPN и закрытого ключа

Теперь, когда на вашем сервере OpenVPN установлены все предварительные условия, а именно настроенный ЦС, следующим шагом является создание секретного ключа и запроса на подпись сертификата (CSR) на вашем сервере OpenVPN. После этого вы передадите запрос в ваш ЦС для подписания, создав необходимый сертификат. Получив подписанный сертификат, вы передадите его обратно на сервер OpenVPN и установите его для использования сервером.

Для начала перейдите в ~/easy-rsaкаталог на сервере OpenVPN от имени пользователя без полномочий root:

cd ~/easy-rsa

Теперь вы будете вызывать easyrsaс gen-reqпараметром, за которым следует общее имя (CN) для машины. CN может быть чем угодно, но может быть полезно сделать что-то описательное. На протяжении всего этого руководства будет использоваться CN сервера OpenVPN admin. Не забудьте также включить эту nopassопцию. Несоблюдение этого требования защитит файл запроса паролем, что в дальнейшем может привести к проблемам с разрешениями.

Примечание. Если вы выберете имя, отличное admin указанного здесь, вам придется изменить некоторые из приведенных ниже инструкций. Например, при копировании сгенерированных файлов в /etc/openvpnкаталог вам придется подставлять правильные имена. Вы также должны будете изменить /etc/openvpn/server.confфайл позже, чтобы указать на правильный .crtи .keyфайлы.

./easyrsa gen-req server nopass

Это создаст закрытый ключ для сервера и файл запроса сертификата admin.req. Скопируйте ключ сервера в /etc/openvpn/serverкаталог:

sudo cp /home/sammy/easy-rsa/pki/private/admin.key /etc/openvpn/server/

Выполнив эти шаги, вы успешно создали закрытый ключ для вашего сервера OpenVPN. Вы также сгенерировали запрос на подпись сертификата для сервера OpenVPN. CSR теперь готов к подписанию вашим CA. В следующем разделе этого руководства вы узнаете, как подписать CSR с помощью закрытого ключа вашего CA-сервера.