Ich bin nicht sicher, ob es wie eine dumme Frage klingt, aber alle Anleitungen, die ich mir zum Erstellen von Zertifikaten für OpenVPN angesehen habe, verwenden Easy-RSA.
Einige meiner Server, wie mein NAS und der OpenMediaVault-Server in meinem Heim-LAN, verwenden SSL zur Verschlüsselung der Daten. Daher habe ich meine eigene Zertifizierungsstelle (CA, Certificate of Authority) erstellt, die auf jedem Client installiert wird. Wenn ein einziges CA-Zertifikat installiert ist, werden alle auf meinen Servern verwendeten Zertifikate automatisch genehmigt, sodass ich nicht mehrere Zertifikate auf dem Client installieren muss.
In Bezug auf OpenVPN würde ich lieber auf die Erstellung eines zweiten Stammzertifikats für OpenVPN verzichten und stattdessen das vorhandene vertrauenswürdige Stammzertifikat verwenden, das ich mit dem auf meinen Clients bereits installierten OpenSSL erstellt habe.
Ist das möglich?
Vielen Dank
AKTUALISIEREN
Wäre die Generierung des Diffie-Hellman das Äquivalent des openssl req x509Befehls?
Dies ist der erste Befehl, den ich beim Erstellen meiner OpenSSL-Zertifikate verwende
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
Ich versuche nur, die entsprechenden Empfehlungen für Easy-RSA herauszufinden.
Antwort1
Alle Anleitungen verwenden Easy-RSA, weil es einfach ist und es kommt alsTeil von OpenVPN.
Darüber hinaus verwendet OpenVPN jedoch vollständig standardmäßige RSA-basierte X.509-Zertifikate, genau wie sie von HTTPS und anderen TLS verwendet werden. (Der OpenVPN-Steuerkanal verwendet sogar reguläres TLS, allerdings innerhalb einer benutzerdefinierten Multiplexing-Schicht.)
Der einzige wichtige Unterschied besteht darin, dass ältere OpenVPN-Versionen bei extendedKeyUsage strenger waren als andere TLS-Clients. Wenn Sie --remote-cert-tls clientes beispielsweise verwendeten, musste das Zertifikatnur„TLS-Client“-Nutzung und würde Zertifikate ablehnen, bei denen Server- und Client-Nutzungs-OIDs festgelegt sind (wie es bei den meisten TLS-Zertifikaten üblich ist).
Schließlich ist es für OpenVPN-Clients nicht erforderlich, dass das CA-Zertifikat systemweit installiert wird. Die Autoren raten sogar davon ab. Das CA-Zertifikat kann einfach inline in die Konfigurationsdatei eingefügt werden.