No estoy seguro de si parece una pregunta estúpida, pero todas las guías que he consultado sobre cómo crear certificados para OpenVPN utilizan Easy-RSA.
Algunos de mis servidores, como mi NAS y el servidor OpenMediaVault en mi LAN doméstica, usan SSL para cifrar los datos, por lo tanto, he creado mi propia CA (certificado de autoridad) que se instala en cada cliente. Tener un único certificado de CA instalado aprueba automáticamente cualquiera de los certificados que se utilizan en mis servidores, lo que ahorra la instalación de varios certificados en el cliente.
Con respecto a OpenVPN, prefiero omitir la creación de un segundo certificado raíz para OpenVPN y en su lugar utilizar el certificado raíz confiable existente que he creado con OpenSSL ya instalado en mis clientes.
es posible?
Muchas gracias
ACTUALIZAR
¿La generación del Diffie Hellman sería el equivalente al openssl req x509comando?
Este es el primer comando que uso al crear mis certificados OpenSSL
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
Sólo estoy tratando de encontrar las recomendaciones equivalentes al easy-RSA.
Respuesta1
Todas las guías utilizan Easy-RSA porque es fácil y viene comoparte de OpenVPN.
Más allá de eso, sin embargo, OpenVPN utiliza certificados X.509 basados en RSA completamente estándar, exactamente como los utilizados por HTTPS y otros TLS. (El canal de control OpenVPN incluso utiliza TLS normal, aunque dentro de una capa de multiplexación personalizada).
La única diferencia importante es que las versiones anteriores de OpenVPN solían ser más estrictas con respecto al uso extendido de claves que otros clientes TLS; por ejemplo, si lo usara, --remote-cert-tls clientrequeriría que el certificado tuvierasoloUso de "cliente TLS" y rechazaría certificados que tuvieran configurados OID de uso de servidor y cliente (como es común para la mayoría de los certificados TLS).
Finalmente, los clientes OpenVPN no requieren que el certificado CA esté instalado en todo el sistema y, de hecho, los autores lo desaconsejan un poco. El certificado de CA simplemente se puede incluir en línea en el archivo de configuración.