Rsa kulcsok létrehozása az openvpn - youngblogger számára
Az RSA kulcsok létrehozása az OpenVPN-hez néhány egyszerű lépésben történik.
De mielőtt folytatnánk a kulcsok létrehozását, néhány ponton el kell dönteni.
Szükségünk van?
Ügyfélkulcsok létrehozásakor fontos megérteni, hogy a kliens kulcs lehet "személyes" vagy "együttműködő" egy több ügyfelet és egy ügyfelet is.
Az ügyfélkulcs használatának változatát az OpenVPN kiszolgáló konfigurációs fájljában lévő egyik opció határozza meg. A kiszolgálón található opció lehetővé teszi, hogy megtagadja vagy engedélyezze a kapcsolatot a kiszolgálóval, ha az ilyen kulcsú ügyfél már csatlakozott a kiszolgálóhoz.
A tanúsítványok kezelése az OpenVPN szállítása során egyszerűen használható szkriptek, amelyek lehetővé teszik, hogy bonyolult manipulációkat hajtson végre a tisztázatlan programokkal és paraméterekkel. De először is be kell állítania ezeket a parancsfájlokat.
A Linuxról szól a Red Hat Fedora. A Fedora ezeket a szkripteket a /usr/share/openvpn/easy-rsa/2.0/
Általában ezeket a szkripteket a home könyvtárba / home / user001 / openvpn-easy-rsa / fájlba másolom, és ott manipulálom a szkripteket.
Először is, a kulcsok létrehozásához nem szükséges az adminisztrátori jogok. Másodszor, a biztonság érdekében a megszerzett magánkulcsokat nem lehet bárki számára megjeleníteni, de a saját könyvtárukban minden olyan felhasználó számára láthatók lesznek, ahol létrehozták őket. Harmadszor, szeretem, hogy minden munkafüzetben volt.
Ha valaki nem akar beleírni a parancsok leírásába, az oldal legvégén a kulcsok létrehozására szolgáló parancsok rövid listája található. Állítsa be a vars fájlt és az elérési utat.
Szkriptek konfigurálása
Nyissa meg az vars fájlt, és változtassa meg a következő mezőket, ahogy tetszik. De nem lehetnek üresek. Tehát a dokumentációban van megírva :)
A KEY_EMAIL mező hosszának határa 40 karakter.
a KEY_COUNTRY mezőben - 2 karakter
FONTOS
Vegye figyelembe, hogy ha nincsenek kulcsok alkönyvtára, vagy üresek, fájlok nélkül (ha még nem hozta létre a kulcsokat), akkor kötelező a parancsfájl végrehajtása ./clean-all
Két dolgot csinál
- Eltávolítja az összeset ebből a könyvtárból. Vigyázat! Nem kér megerősítést
- Két fájlt hoz létre ebben az alkönyvtárban
keys / index.txt - üres
kulcsok / sorozatok - amely egy sort tartalmaz 01 ez lesz az első aláírt kulcs sorozatszáma.
Ennek hiányában a kiszolgáló és ügyfél kulcsok generálásakor hiba lép fel:
A tanúsító szervezet létrehozása
A saját hitelesítésszolgáltató rövidítése (CA) létrehozása a build-ca szkript segítségével történik.
Figyelmeztetni szeretném, hogy ne futtassuk ezeket a parancsfájlokat mc-ből (Midnight Commander), mert a vars szkript változóinak elveszett a következő parancsfájl elindítása. Indítsa el mindent egy tiszta héjból.
A kiszolgáló kulcs létrehozása és aláírása a CA-val
Diffie Hellman Key
A Diffie Hellman kulcsot az ügyfél és a kiszolgáló közötti billentyűk cseréjére használják. Nem függ semmi teljesen függetlenül, csak a kimeneti mappát és a kulcs hosszúságát használja.
Tekintettel arra, hogy a kulcsméretet 2048 bitre állítom, a Diffie Hellman kulcsgenerálás hosszú utat fog megtenni.
Nem a teljes képernyőt idézem, mert ennek kevés értelme van.
Hozzon létre a szükséges kulcsok számát az ügyfelek számára.
3 VPN-ügyfélnek 3 kulcsra van szüksége. Az akció háromszor megismétlődik, csak a szkripthez átvitt név megváltoztatásával
És végül az utolsó kulcsot a kiszolgáló és az ügyfél számára. Nem szükséges, de célja megakadályozni
menjen a könyvtárba a kulcsokkal és futtassa ezt a parancsot (az a gép, ahol elindul, telepítenie kell az openvpn-t
Válassza ki a másolni kívánt fájlokat a kiszolgálóra, és az ügyfeleknek
Így keletkeznek a kulcsok. A TA kulcs létrehozása után a kulcskönyvtárban maradtunk.
Jaj! A tapasztalatlan felhasználó egyszerűen megragadja a szellemet az adott számú fájlból. Mit válasszon?
A szervernek egyszerű a kulcsok kiválasztása:
ca.crt
dh2048.pem
ta.key
én-personal-VPN-server.crt
én-personal-VPN-server.key
Az ügyfél kliens1
ca.crt
ta.key
én-personal-VPN-client1.crt
én-personal-VPN-client1.key
És így tovább ...
A fenti pontok elrendezéséhez egy táblagépet adok, mint az OpenVPN webhelyen.