Может кто-нибудь объяснить, пожалуйста, easyrsa vars варианты для генерации PKI

24

Я использую OpenVPN, и хотя я могу генерировать сертификаты с помощью easyrsa, я не совсем понимаю настройки в файле easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Кто-нибудь может объяснить эти настройки? Заранее спасибо.

ilium007
источник

Ответы:

17

Это настройки для сертификата (сертификат является открытым ключом + (эта) информация, подписанная центром сертификации).

Таким образом, в вашем случае это ваша страна (где вы живете, где находится ваша компания), провинция (такая же), город (такая же), название организации, адрес электронной почты, общее имя (уникальное для этого ЦС), имя и организационная единица - в этом порядке.

Последние две строки - это путь и пин-код для PKCS11 (обычно для смарт-карт).

Я полагаю, вы используете easy-rsa; если вы не устанавливаете эти переменные, он запрашивает их, когда вы запускаете инструмент для генерации сертификата.

mulaz
источник
2
Спасибо - я также хотел знать, как мне найти значения для KEY_CN KEY_NAME и KEY_OU и оставить их одинаковыми для сценария build_ca, сценария build-key-server и build-key?
ilium007
1
Только CN должен быть уникальным, поэтому подумайте об использовании пользовательских имен пользователей или чего-то подобного. OU может быть чем угодно (маркетингом, инжинирингом или даже пустым).
Мулаз
1
Кажется, что лучше оставить CN незаданным, потому что в противном случае вам придется каждый раз переопределять его: KEY_CN=foobar ./pkitool foobarпри создании ключа.
Исаакль
Дополнительная информация, почему KEY_CN важен: если KEY_CN не является уникальным, OpenVPN начинает отключать клиентов с одинаковым общим именем, если только duplicate-cnнастройка не включена (по умолчанию она отключена).
Роланд
Дополнительная информация и ссылки в Википедии: en.wikipedia.org/wiki/Certificate_signing_request
MikeW