[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /etc/openvpn
crl_dir = $dir
database = $dir/index.txt
new_certs_dir = $dir
certificate = $dir/ca.crt
serial = $dir
crl = $dir/crl.pem
private_key = $dir/server.key
RANDFILE = $dir/.rand
default_days = 3650
default_crl_days = 365
default_md = md5
unique_subject = yes
policy = policy_any
x509_extensions = user_extensions
[ policy_any ]
organizationName = match
organizationalUnitName = optional
commonName = supplied
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
x509_extensions = CA_extensions
[ req_distinguished_name ]
organizationName = Organization Name (must match CA)
organizationName_default = Company
organizationalUnitName = Location Name
commonName = Common User or Org Name
commonName_max = 64
[ user_extensions ]
basicConstraints = CA:FALSE
[ CA_extensions ]
basicConstraints = CA:TRUE
default_days = 3650
[ server ]
basicConstraints = CA:FALSE
nsCertType = server
Вопрос по этому куску:
[ req_distinguished_name ] organizationName = Organization Name (must match CA)
organizationName_default = Company
organizationalUnitName = Location Name
commonName = Common User or Org Name
commonName_max = 64
Вопрос простой - что писать-то. При генерации ключей и сертификатов ca и самого openvpn сервера использовал easyrsa3 и указать можно было только commonname. И вот эта строчка "organizationName = Organization Name (must match CA)" так же вводит в ступор, указывать данные сертификата ca или сертификата openvpn сервера?
вообще-то тебе надо vars отредактировать и там это все прописать
речь о .../easy-rsa-master/easyrsa3/vars.example?
а писать там можно все что угодно.
Я понимаю что значения в полях могут быть произвольными при генерации запроса/сертификата, но что эти строки:
organizationName = Organization Name (must match CA)
organizationName_default = Company
organizationalUnitName = Location Name
commonName = Common User or Org Name
делают в конфиг файле openssl для openvpn? На что влияют?
Я понимаю что значения в полях могут быть произвольными при генерации запроса/сертификата, но что эти строки:
organizationName = Organization Name (must match CA)
organizationName_default = Company
organizationalUnitName = Location Name
commonName = Common User or Org Name
делают в конфиг файле openssl для openvpn? На что влияют?
На автоматическую генерацию, иначе придется забивать эти данные в интерактивном режиме. У меня, правда, эта секция выглядит так:
[ req_distinguished_name ]
C = $ENV::KEY_COUNTRY
ST = $ENV::KEY_PROVINCE
L = $ENV::KEY_CITY
O = $ENV::KEY_ORG
OU = $ENV::KEY_ORGUNIT
CN = $ENV::KEY_NAME
emailAddress = $ENV::KEY_EMAIL
Совпадать должны данные для сертификата сервера и CA. А в клиентских конфигах, если используется tls, строка "tls-remote" должна совпадать с CN сервера.
И не используйте всякие рэпперы типа easy_rsa. Почитайте man openssl и man ca - там нет ничего сложного.
Спасибо за ответ, но мне яснее не стало .
Т.е. Эти значения влияют на значения полей при генерации запросов? А зачем тогда vars, на который указывал другой участник в этой теме?
Можно ли эти значения в конфиге оставить пустыми?
Спасибо за ответ, но мне яснее не стало .
Т.е. Эти значения влияют на значения полей при генерации запросов? А зачем тогда vars, на который указывал другой участник в этой теме?
Можно ли эти значения в конфиге оставить пустыми?
Можно. Но будете забивать эти данные вручную при генерации запросов. Если их больше одного с одинаковыми даннми, есть смысл оставить их в конфиге.
vars - это часть рэппера easy_rsa. На самом деле, никакой он не изи, именно из-за него и возникают подобные вопросы.
Спасибо за ответ, но мне яснее не стало .
Т.е. Эти значения влияют на значения полей при генерации запросов? А зачем тогда vars, на который указывал другой участник в этой теме?
Можно ли эти значения в конфиге оставить пустыми?
Можно. Но будете забивать эти данные вручную при генерации запросов. Если их больше одного с одинаковыми даннми, есть смысл оставить их в конфиге.
vars - это часть рэппера easy_rsa. На самом деле, никакой он не изи, именно из-за него и возникают подобные вопросы.
Спасибо за ответ. Мне очень не просто дается pki, я плохо понимаю схему работы, так что вряд ли один лишь man openssl мне поможет. А сейчас нужно сделать чтобы просто работало, поэтому пока easyrsa.
Спасибо за ответ, но мне яснее не стало .
Т.е. Эти значения влияют на значения полей при генерации запросов? А зачем тогда vars, на который указывал другой участник в этой теме?
Можно ли эти значения в конфиге оставить пустыми?
Можно. Но будете забивать эти данные вручную при генерации запросов. Если их больше одного с одинаковыми даннми, есть смысл оставить их в конфиге.
vars - это часть рэппера easy_rsa. На самом деле, никакой он не изи, именно из-за него и возникают подобные вопросы.
Спасибо за ответ. Мне очень не просто дается pki, я плохо понимаю схему работы, так что вряд ли один лишь man openssl мне поможет. А сейчас нужно сделать чтобы просто работало, поэтому пока easyrsa.
Попробуйте вот это. Точно проще, чем easy_rsa
У вас нет необходимых прав для просмотра вложений в этом сообщении.
.