Не уверен, покажется ли это глупым вопросом, но все руководства, которые я просмотрел, когда речь заходит о создании сертификатов для OpenVPN, используют Easy-RSA.
Некоторые из моих серверов, такие как мой NAS и сервер OpenMediaVault в моей домашней локальной сети, используют SSL для шифрования данных, поэтому я создал свой собственный CA (сертификат полномочий), который устанавливается на каждом клиенте. Наличие одного установленного сертификата CA автоматически одобряет любой из сертификатов, используемых на моих серверах, что позволяет избежать установки нескольких сертификатов на клиенте.
Что касается OpenVPN, я бы предпочел не создавать второй корневой сертификат для OpenVPN, а вместо этого использовать существующий доверенный корневой сертификат, который я создал с помощью OpenSSL, уже установленного на моих клиентах.
Это возможно?
Большое спасибо
ОБНОВЛЯТЬ
Будет ли генерация Диффи-Хеллмана эквивалентом команды openssl req x509?
Это первая команда, которую я использую при создании сертификатов OpenSSL.
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
Я просто пытаюсь найти эквивалентные рекомендации для easy-RSA
решение1
Все руководства используют Easy-RSA, потому что это просто и доступночасть OpenVPN.
Однако, помимо этого, OpenVPN использует полностью стандартные сертификаты X.509 на основе RSA, точно такие же, как те, которые используются HTTPS и другими TLS. (Канал управления OpenVPN даже использует обычный TLS, хотя и в пределах настраиваемого уровня мультиплексирования.)
Единственное важное отличие заключается в том, что старые версии OpenVPN были более строги в отношении extendedKeyUsage, чем другие клиенты TLS; например, если вы использовали --remote-cert-tls clientего, сертификат должен был иметьтолькоИспользование «TLS-клиента» и будет отклонять сертификаты, в которых установлены идентификаторы OID использования сервера и клиента (что является обычным для большинства сертификатов TLS).
Наконец, клиенты OpenVPN не требуют установки сертификата CA на всю систему, и на самом деле авторы несколько отговаривают от этого. Сертификат CA можно просто включить в файл конфигурации.