愚かな質問のように聞こえるかもしれませんが、OpenVPN の証明書の作成に関して私が調べたすべてのガイドでは、Easy-RSA が使用されています。
私の NAS や自宅の LAN 上の OpenMediaVault サーバーなどの一部のサーバーでは、データの暗号化に SSL を使用しているため、各クライアントにインストールされる独自の CA (認証局) を作成しました。CA 証明書を 1 つインストールするだけで、サーバー上で使用されるすべての証明書が自動的に承認され、クライアントに複数の証明書をインストールする手間が省けます。
OpenVPN に関しては、OpenVPN 用の 2 番目のルート証明書の作成をスキップし、代わりにクライアントにすでにインストールされている OpenSSL で作成した既存の信頼されたルート証明書を利用します。
これは可能ですか?
どうもありがとう
アップデート
diffie hellman の生成はコマンドと同等でしょうかopenssl req x509?
これはOpenSSL証明書を作成するときに最初に使用するコマンドです
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
私は、easy-RSAと同等のコマンドを見つけようとしているだけです
答え1
すべてのガイドではEasy-RSAを使用しています。簡単で、OpenVPN の一部です。
ただし、それ以外では、OpenVPN は、HTTPS やその他の TLS で使用されるものとまったく同じ、完全に標準的な RSA ベースの X.509 証明書を使用します (OpenVPN 制御チャネルは、カスタム多重化レイヤー内ではありますが、通常の TLS も使用します)。
唯一の重要な違いは、古いバージョンのOpenVPNは他のTLSクライアントよりもextendedKeyUsageに関して厳格だったことです。たとえば、--remote-cert-tls clientそれを使用する場合、証明書にはのみ「TLS クライアント」の使用であり、サーバーおよびクライアントの使用 OID が設定された証明書を拒否します (ほとんどの TLS 証明書で一般的です)。
最後に、OpenVPN クライアントでは、システム全体に CA 証明書をインストールする必要はなく、実際、作成者はそれをあまり推奨していません。CA 証明書は、構成ファイルにインラインで含めることができます。