Шаг 2 Подписание сертификата

Подписание запроса сертификата сервера OpenVPN

На предыдущем этапе вы создали запрос на подпись сертификата (CSR) и закрытый ключ для сервера OpenVPN. Теперь сервер CA должен знать о admin сертификате и проверять его. Когда ЦС проверяет и передает сертификат обратно на сервер OpenVPN, клиенты, которые доверяют вашему ЦС, смогут также доверять серверу OpenVPN.

На сервере OpenVPN как пользователь alex без полномочий root используйте SCP или другой способ передачи, чтобы скопировать admin.reqзапрос сертификата на сервер CA для подписи:

cp /home/alex/easy-rsa/pki/reqs/admin.req /tmp

Если вы выполнили предварительное условие Учебное пособие по установке и настройке центра сертификации (CA) в Ubuntu 20.04 , следующий шаг - войти на сервер CA как пользователь без полномочий root, который вы создали для управления вашим CA. Вы попадете cdв ~/easy-rsaкаталог, где вы создали свой PK, а затем импортируете запрос сертификата, используя easyrsaскрипт:

cd ~/easy-rsa

./easyrsa import-req /tmp/server.req server

Output. . .
The request has been successfully imported with a short name of: server
You may now use this name to perform signing operations on this request.

Затем подпишите запрос, запустив easyrsaсценарий с sign-reqпараметром, затем тип запроса и общее имя. Тип запроса может быть clientили server. Поскольку мы работаем с запросом сертификата сервера OpenVPN, обязательно используйте serverтип запроса:

./easyrsa sign-req server admin

В выводе вам будет предложено проверить, что запрос поступил из надежного источника. Введите и yesнажмите, ENTERчтобы подтвердить:

OutputYou are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.

Request subject, to be signed as a server certificate for 3650 days:

subject=
commonName = server


Type the word 'yes' to continue, or any other input to abort.
Confirm request details: yes
. . .
Certificate created at: /home/sammy/easy-rsa/pki/issued/server.crt

Обратите внимание, что если вы зашифровали свой секретный ключ CA, на этом этапе вам будет предложено ввести пароль.

Выполнив эти шаги, вы подписали запрос сертификата сервера OpenVPN, используя закрытый ключ CA-сервера. Полученный admin.crtфайл содержит открытый ключ шифрования сервера OpenVPN, а также подпись от сервера CA. Смысл подписи заключается в том, чтобы сообщить всем, кто доверяет серверу CA, что они также могут доверять серверу OpenVPN при подключении к нему.

Для завершения настройки сертификатов, копировать admin.crtи ca.crtфайлы с сервера ЦС на сервер OpenVPN:

cp pki/issued/admin.crt /tmp

cp pki/ca.crt /tmp

Теперь обратно на сервер OpenVPN, скопируйте файлы из /tmpв /etc/openvpn/server:

sudo cp /tmp/{admin.crt,ca.crt} /etc/openvpn/server

Теперь ваш сервер OpenVPN почти готов принимать соединения. На следующем шаге вы выполните несколько дополнительных шагов для повышения безопасности сервера.