Não tenho certeza se parece uma pergunta estúpida, mas todos os guias que li sobre como criar certificados para OpenVPN usam Easy-RSA.
Alguns dos meus servidores, como meu NAS e o servidor OpenMediaVault na minha LAN doméstica, usam SSL para criptografar os dados, portanto, criei meu próprio CA (certificado de autoridade) que é instalado para cada cliente. Ter um único certificado CA instalado aprova automaticamente qualquer um dos certificados usados em meus servidores, economizando a instalação de vários certificados no cliente.
Em relação ao OpenVPN, prefiro pular a criação de um segundo certificado raiz para OpenVPN e, em vez disso, utilizar o certificado raiz confiável existente que criei com o OpenSSL já instalado em meus clientes.
Isso é possível?
Muito obrigado
ATUALIZAR
A geração do difffie hellman seria equivalente ao openssl req x509comando?
Este é o primeiro comando que uso ao criar meus certificados OpenSSL
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
Estou apenas tentando descobrir os elogios equivalentes ao easy-RSA
Responder1
Todos os guias usam Easy-RSA porque é fácil e vem comoparte do OpenVPN.
Além disso, no entanto, o OpenVPN usa certificados X.509 baseados em RSA completamente padrão, exatamente como aqueles usados por HTTPS e outros TLS. (O canal de controle OpenVPN ainda usa TLS regular, embora dentro de uma camada de multiplexação personalizada.)
A única diferença importante é que as versões mais antigas do OpenVPN costumavam ser mais rigorosas em relação ao ExtendedKeyUsage do que outros clientes TLS; por exemplo, se você --remote-cert-tls cliento usasse, seria necessário que o certificado tivesseapenasUso de "cliente TLS" e rejeitaria certificados que tivessem OIDs de uso de servidor e cliente definidos (como é comum para a maioria dos certificados TLS).
Finalmente, os clientes OpenVPN não exigem que o certificado CA seja instalado em todo o sistema e, na verdade, os autores desencorajam isso um pouco. O certificado CA pode ser incluído inline no arquivo de configuração.