Шаг 1 Начало
Создание запроса сертификата сервера OpenVPN и закрытого ключа
Теперь, когда на вашем сервере OpenVPN установлены все предварительные условия, а именно настроенный ЦС, следующим шагом является создание секретного ключа и запроса на подпись сертификата (CSR) на вашем сервере OpenVPN. После этого вы передадите запрос в ваш ЦС для подписания, создав необходимый сертификат. Получив подписанный сертификат, вы передадите его обратно на сервер OpenVPN и установите его для использования сервером.
Для начала перейдите в ~/easy-rsaкаталог на сервере OpenVPN от имени пользователя без полномочий root:
cd ~/easy-rsa
Теперь вы будете вызывать easyrsaс gen-reqпараметром, за которым следует общее имя (CN) для машины. CN может быть чем угодно, но может быть полезно сделать что-то описательное. На протяжении всего этого руководства будет использоваться CN сервера OpenVPN admin. Не забудьте также включить эту nopassопцию. Несоблюдение этого требования защитит файл запроса паролем, что в дальнейшем может привести к проблемам с разрешениями.
Примечание. Если вы выберете имя, отличное admin указанного здесь, вам придется изменить некоторые из приведенных ниже инструкций. Например, при копировании сгенерированных файлов в /etc/openvpnкаталог вам придется подставлять правильные имена. Вы также должны будете изменить /etc/openvpn/server.confфайл позже, чтобы указать на правильный .crtи .keyфайлы.
./easyrsa gen-req server nopass
Это создаст закрытый ключ для сервера и файл запроса сертификата admin.req. Скопируйте ключ сервера в /etc/openvpn/serverкаталог:
Выполнив эти шаги, вы успешно создали закрытый ключ для вашего сервера OpenVPN. Вы также сгенерировали запрос на подпись сертификата для сервера OpenVPN. CSR теперь готов к подписанию вашим CA. В следующем разделе этого руководства вы узнаете, как подписать CSR с помощью закрытого ключа вашего CA-сервера.
Last updated
Was this helpful?