어리석은 질문처럼 들릴지 모르겠지만, OpenVPN용 인증서를 만드는 것과 관련하여 제가 살펴본 모든 가이드는 모두 Easy-RSA를 사용합니다.
내 NAS와 같은 일부 서버 및 내 홈 LAN의 OpenMediaVault 서버는 SSL을 사용하여 데이터를 암호화하므로 각 클라이언트에 설치된 자체 CA(인증서)를 만들었습니다. 단일 CA 인증서를 설치하면 내 서버에서 사용되는 모든 인증서가 자동으로 승인되어 클라이언트에 여러 인증서를 설치할 필요가 없습니다.
OpenVPN과 관련하여 저는 OpenVPN에 대한 두 번째 루트 인증서 만들기를 건너뛰고 대신 클라이언트에 이미 설치된 OpenSSL로 만든 기존의 신뢰할 수 있는 루트 인증서를 활용하고 싶습니다.
이것이 가능한가?
많은 감사
업데이트
디피헬맨의 세대가 그 명령과 동등할까요 openssl req x509?
OpenSSL 인증서를 생성할 때 사용하는 첫 번째 명령입니다.
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
나는 easy-RSA에 상응하는 칭찬을 찾으려고 노력하고 있습니다.
답변1
모든 가이드에서는 쉽고 다음과 같은 기능을 제공하는 Easy-RSA를 사용합니다.OpenVPN의 일부.
그러나 그 외에도 OpenVPN은 HTTPS 및 기타 TLS에서 사용되는 것과 똑같은 표준 RSA 기반 X.509 인증서를 사용합니다. (OpenVPN 제어 채널은 사용자 지정 멀티플렉싱 계층 내에서도 일반 TLS를 사용합니다.)
유일한 중요한 차이점은 이전 OpenVPN 버전이 다른 TLS 클라이언트보다 ExtendedKeyUsage에 대해 더 엄격했다는 것입니다. 예를 들어, 이를 사용했다면 --remote-cert-tls client인증서가 필요합니다.오직"TLS 클라이언트"를 사용하며 서버 및 클라이언트 사용 OID가 설정된 인증서를 거부합니다(대부분의 TLS 인증서에 공통적임).
마지막으로 OpenVPN 클라이언트는 CA 인증서를 시스템 전체에 설치할 것을 요구하지 않으며 실제로 작성자는 이를 다소 권장하지 않습니다. CA 인증서는 구성 파일에 인라인으로 포함될 수 있습니다.