Создание инфраструктуры открытого ключа с помощью простого сценариев RSA

Первый шаг при настройке OpenVPN является создание Инфраструктура открытых ключей (ПКИ). PKI состоит из:

  • Общественный мастер Центр сертификации (Калифорния) сертификат и закрытый ключ.
  • Отдельный открытый сертификат и закрытый ключ пары (далее в качестве свидетельства) для каждого сервера и каждого клиента.

Для облегчения процесса создания сертификата, OpenVPN поставляется с коллекцией RSA ключевые сценарии manangement (основанный на OpenSSL инструмент командной строки) известный как легкая РКА.

Заметка: Только .key файлы необходимо хранить в тайне, .ЭЛТ- и .csr файлы могут быть отправлены через незащищенные каналы, такие как электронная почта открытого текста.

В этой статье необходимые сертификаты создаются корня в домашнем каталоге суперпользователя. Это гарантирует, что генерируемые файлы, имеют право собственности и разрешений, и безопасны от других пользователей.

Заметка: Сертификаты могут быть созданы на любом компьютере. Для обеспечения максимальной безопасности, генерировать сертификаты на физически защищенной машине отключены от любой сети, и убедитесь, что сгенерированный ca.key секретный ключ резервного копирования и никогда не доступными для всех.
Предупреждение: Убедитесь, что генерируемые файлы резервного копирования, особенно ca.key и ca.crt файлы, так как если вы потеряли не сможете создавать новые, ни отменить любые скомпрометированных сертификатов, что требует генерации нового Центр сертификации (Калифорния) сертификат, недействительности всю инфраструктуру PKI.

Установка простой АСР скрипты

Установите сценарии, выполнив следующие действия:

Создание сертификатов

Перейдите в каталог, где установлены скрипты.

Для того, чтобы обеспечить последовательное использование значений при создании инфраструктуры открытого ключа, Установить значения по умолчанию, которые будут использоваться генерирующими ИПК скриптов. Редактировать / корень / легко и РКА / вары и как минимум установить KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, и параметры KEY_EMAIL (не оставляйте какие-либо из этих параметров заготовки). Изменение параметра KEY_SIZE к 2048 для SSL / TLS использовать 2048bit RSA ключи для аутентификации.

Экспорт переменных среды.

Удалите все созданные ранее сертификаты.

Заметка: Ввод . (точка) при запросе значения, гасит параметр.

Сценарий сборки-ча генерирует Центр сертификации (Калифорния) сертификат.

Сценарий сборки ключ-сервер # ./build-key-server <server name> генерирует сертификат сервера. Убедитесь, что имя сервера (Общее имя при запуске скрипта) является уникальным.

Заметка: Не вводите пароль вызов или название компании, когда скрипт зпросит.

Сценарий сборки-дк генерирует параметры Диффи-Хеллмана .PEM файл требуется сервером.

Заметка: Было бы лучше, чтобы создать новый для каждого сервера, но вы можете использовать один и тот же, если вы хотите.

Нарастание ключ скрипта # ./build-key <client name> генерирует сертификат клиента. Убедитесь, что имя клиента (Общее имя при запуске скрипта) является уникальным.

Заметка: Не вводите пароль вызов или название компании, когда скрипт зпросит.

Генерировать секрет Хэш основе Message Authentication Code (HMAC) запустив: # openvpn --genkey --secret /root/easy-rsa/keys/ta.key

Это будет использоваться для добавления дополнительного HMAC подписи всех SSL / TLS приветственные пакеты. Кроме того любой UDP-пакетов, не имеющий правильную подпись HMAC будет немедленно упала, защита от:

  • Portscanning.
  • DOS атаки на порт OpenVPN UDP.
  • SSL / TLS квитирующего посвящений от неавторизованного машин.
  • Любые возможные уязвимости переполнения буфера в реализации SSL / TLS.

Все созданные ключи и сертификаты были сохранены в / корень / простой / ключи RSA. Если вы допустили ошибку, вы можете начать все сначала, снова запустив дезактивация все скрипт.

Предупреждение: Это удалит все ранее созданные сертификаты, хранящиеся в / корневой / простой / ключей RSA, в том числе Центр сертификации (Калифорния) сертификат.

Преобразование сертификатов в зашифрованном формате .p12

Некоторое программное обеспечение (таких как Android) будет только для чтения VPN сертификаты, которые хранятся в защищенных паролем .p12 файл. Они могут быть получены с помощью следующей команды:

Проверка с помощью OpenSSL

Если вам необходимо проверить информацию в сертификате, CSR или Private Key, использовать эти команды. Вы также можете проверьте CSRs и проверки сертификатов с помощью наших инструментов он-лайн.

  • Проверьте запрос на подпись сертификата (КСО)
  • Проверьте закрытый ключ
  • Проверить сертификат
  • Проверить PKCS # 12 файл (.PFX или P12)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *