我不確定這聽起來是不是一個愚蠢的問題,但我看過的所有為 OpenVPN 製作憑證的指南都使用 Easy-RSA。
我的一些伺服器(例如我的 NAS 和家庭 LAN 上的 OpenMediaVault 伺服器)使用 SSL 來加密數據,因此我建立了自己的 CA(授權憑證)並安裝到每個用戶端。安裝單一 CA 證書會自動批准在我的伺服器上使用的任何證書,從而無需在用戶端上安裝多個證書。
關於 OpenVPN,我寧願跳過為 OpenVPN 製作第二個根證書,而是利用我透過已安裝在客戶端上的 OpenSSL 製作的現有受信任根證書。
這可能嗎?
非常感謝
更新
diffie hellman 的產生相當於指令嗎openssl req x509?
這是我創建 OpenSSL 憑證時使用的第一個命令
openssl req -x509 -newkey rsa:4096 -keyout ca/cakey.pem -out ca/cacert.pem -days 3650 -sha256 -nodes -config configs/ca_openssl.cnf
我只是想找出對 easy-RSA 的等效推薦
答案1
所有指南都使用 Easy-RSA,因為它很簡單,而且它是OpenVPN 的一部分。
然而除此之外,OpenVPN 使用完全標準的基於 RSA 的 X.509 證書,與 HTTPS 和其他 TLS 使用的證書完全相同。 (OpenVPN 控制通道甚至使用常規 TLS,儘管是在自訂複用層內。)
唯一重要的區別是,較舊的 OpenVPN 版本曾經比其他 TLS 用戶端對擴充金鑰使用更加嚴格;例如,如果您使用--remote-cert-tls client它,則需要憑證具有僅有的「TLS 用戶端」使用,並且會拒絕設定了伺服器和用戶端使用 OID 的憑證(這對於大多數 TLS 憑證來說很常見)。
最後,OpenVPN 用戶端不需要在系統範圍內安裝 CA 證書,事實上作者在某種程度上不鼓勵這樣做。 CA 憑證可以直接包含在設定檔中。