Czy ktoś może wyjaśnić opcje easyrsa vars dotyczące generowania PKI

24

Korzystam z OpenVPN i chociaż mogę generować certyfikaty za pomocą easyrsa w porządku, tak naprawdę nie rozumiem ustawień w pliku easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Czy ktoś może wyjaśnić te ustawienia? Z góry dziękuję.

ilium007
źródło

Odpowiedzi:

17

Są to ustawienia certyfikatu (certyfikat to klucz publiczny + (to) informacje podpisane przez urząd certyfikacji).

W Twoim przypadku są to zatem kraj (gdzie mieszkasz, gdzie znajduje się Twoja firma), prowincja (to samo), miasto (to samo), nazwa organizacji, adres e-mail, nazwa pospolita (unikalna dla tego urzędu certyfikacji), nazwa i jednostka organizacyjna - w tej kolejności.

Dwie ostatnie linie to ścieżka i pin dla PKCS11 (zwykle dla kart inteligentnych).

Myślę, że używasz easy-rsa; jeśli nie ustawisz tych zmiennych, poprosi cię o nie, kiedy uruchomisz narzędzie do wygenerowania certyfikatu.

mulaz
źródło
2
Dzięki - chciałem też wiedzieć, jak wymyślić wartości dla KEY_CN KEY_NAME i KEY_OU i czy zachowuję je tak samo w skrypcie build_ca oraz skryptach build-server-build i key-build?
ilium007
1
Tylko CN musi być unikalny, więc zastanów się nad użyciem nazwy użytkownika lub czegoś podobnego. Jednostka organizacyjna może być dowolna (marketing, inżynieria, a nawet pusta).
mulaz 16.12.12
1
Wydaje się, że lepiej jest pozostawić CN nieuzbrojony, ponieważ w przeciwnym razie trzeba go zastąpić za każdym razem za pomocą: KEY_CN=foobar ./pkitool foobarpodczas tworzenia klucza.
isaaclw
Dodatkowe informacje, dlaczego KEY_CN jest ważny: jeśli KEY_CN nie jest unikalny, wówczas OpenVPN zaczyna rozłączać klientów o tej samej wspólnej nazwie, chyba że duplicate-cnustawienie jest włączone (domyślnie jest wyłączone).
Roland Pihlakas
Więcej informacji i linki w Wikipedii: en.wikipedia.org/wiki/Certificate_signing_request
MikeW