Qualcuno può spiegare le opzioni di easyrsa vars per la generazione di PKI


24

Sto usando OpenVPN e mentre posso generare certificati usando easyrsa, non capisco davvero le impostazioni nel file easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Qualcuno può spiegare queste impostazioni? Grazie in anticipo.

Risposte:


17

Queste sono le impostazioni per il certificato (certificato è una chiave pubblica + (questa) informazione firmata da un'autorità di certificazione).

Quindi, nel tuo caso, questi sono il tuo paese (dove vivi, dove si trova la tua azienda), provincia (stessa), città (stessa), nome dell'organizzazione, e-mail, nome comune (unico per questa CA), nome e unità organizzativa - in questo ordine.

Le ultime due righe sono un percorso e un pin per PKCS11 (in genere per le smart card).

Immagino tu stia usando easy-rsa; se non imposti queste variabili, te le chiedono quando esegui lo strumento per generare un certificato.


2
Grazie - quello che volevo anche sapere era come trovare valori per KEY_CN KEY_NAME e KEY_OU e mantenerli uguali nello script build_ca e negli script build-key-server e build-key?
ilium007,

1
Solo CN deve essere univoco, quindi considera l'utilizzo dei nomi utente degli utenti o qualcosa di simile. OU può essere tutto ciò che desideri (marketing, ingegneria o anche vuoto).
mulaz,

1
Sembra che sia meglio lasciare la CN disinserita, perché altrimenti devi sostituirla ogni volta con: KEY_CN=foobar ./pkitool foobarquando crei una chiave.
Isaaclw,

Ulteriori informazioni sul motivo per cui KEY_CN è importante: nel caso in cui KEY_CN non sia univoco, OpenVPN inizia a disconnettere i client con lo stesso nome comune, a meno che l' duplicate-cnimpostazione non sia abilitata (per impostazione predefinita è disabilitata).
Roland Pihlakas,

Ulteriori informazioni e collegamenti, in Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.