На первом шаге создаем инфраструктуру публичных ключей (PublicKeyInfrastructure, PKI):
$ cd /home/ca/easy-rsa-master/easyrsa3
$./easyrsainit-pki
Увидим сообщение:
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/ca/easy-rsa-master/easyrsa3/pki
В результате выполнения команды init-pki был создан каталог /home/ca/easy-rsa-master/easyrsa3/pki, где и находится инфраструктура публичных ключей PKI.
На втором шаге с помощью команды build-caсоздаем удостоверяющий центр CA:
$./easyrsabuild-ca
В ответ на эту команду вводим пароль и так называемое имя CommonName:
Generating a 2048 bit RSA private key
.....+++
................................................................+++
writing new private key to '/home/ca/easy-rsa-master/easyrsa3/pki/private/ca.key'
Enter PEM pass phrase:********
Verifying - Enter PEM pass phrase:********
----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:ca.mydomain.ru>
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/ca/easy-rsa-master/easyrsa3/pki/ca.crt
Парольбудетзащищатьприватныйключудостоверяющегоцентра, созданныйвформате PEM (Privacy Enhancement for Internet Electronic Mail). Этот пароль потребуется каждый раздля подписания в удостоверяющем центре сертификатов для серверов и клиентов OpenVPN.
|
|
Чтобы избавиться от необходимости ввода пароля, можно при запуске команды build-ca задать опцию nopass:
$./easyrsabuild-canopass
В качестве CommonNameзадается, например, доменное имя, выделенное для удостоверяющего центра CA, имя пользователя или хоста сервера CA.
Для удостоверяющего центра команда build-ca создаст два файла:
/home/ca/easy-rsa-master/easyrsa3/pki/private/ca.key
/home/ca/easy-rsa-master/easyrsa3/pki/ca.crt
Файл ca.key представляет собой приватный ключ центра CA, он секретный, и его нельзя переносить на другие узлы сети.
Файл сертификата удостоверяющего центра ca.crt, напротив, открытый, и он будет нужен на узлах серверов и клиентов OpenVPN. Записываем файл ca.crt на USB флэш-диск, чтобы перенести на другие узлы.
Созданные файлы и каталоги PKI
В табл. 2 приведено краткое описание некоторых файлов и каталогов PKI.
Файл или каталог | Описание |
ca.crt | Сертификат удостоверяющего центра CA, не секретный |
crl.pem | Список отзыва сертификатов CRL |
issued | Каталог с сертификатами, созданными удостоверяющим центром CA, не секретный |
private | Каталог с секретнымиприватными ключами |
Reqs | Каталог запросов на сертификаты, не секретный |
Таблица 2. Структура каталога PKI.
СОЗДАНИЕ СЕРВЕРА OPENVPN.
Процесс создания сервера OpenVPN включает в себя установку пакета openvpn, подготовку файлов конфигурации, ключей и сертификатов.
Установка пакета openvpn
Устанавливаем пакет сервера OpenVPN следующим образом:
# apt-getinstallopenvpn