OpenVPN. Генерация PKI сертификатов

easy-rsaКак настраивать OpenVPN сервер в режиме point-to-point и client/server мы научились в предыдущих статьях. Для point-to-point режима мы использовали shared key. В режиме client/server нам были нужны сертификаты и ключи для OpenVPN сервера и клиентов. В данной статье пойдет речь о генерации инфраструктуры публичных ключей (PKI) и сертификатов используя Easy-RSA утилиту.

3. PKI схема

Немного расскажу о PKI структуре (рисунок 3.1).

pki1
Рисунок 3.1 – Структура PKI

Во главе всего дерева сертификатов и ключей должен быть корневой центр сертификации (CA). К примеру, можно посмотреть в браузере информацию о цепочке SSL сертификатов googl-a.

pki2

Рисунок 3.2 – Цепочка сертификатов google

Здесь во главе дерева стоит GeoTrust Global центр сертификации (корневой). Далее идет промежуточный Google Internet Authority G2 сертификат и завершает цепочку клиентский (доменный) сертификат. OpenVPN PKI структура будет похожей. Во главе должен быть корневой центр сертификации (Root CA) с файлом отзывов цифровых сертификатов (CRL). На CA сервере будут генерироваться клиентские и серверные ключи. Приступаем к практике.

3.1 Подготовка корневого центра сертификации

Для начала нужно скачать Easy-RSA утилиту, которую мы будем использовать для генерации всей инфраструктуры ключей.

root@vpn-server:~# wget https://github.com/OpenVPN/easy-rsa/releases/download/3.0.1/EasyRSA-3.0.1.tgz
root@vpn-server:~# tar xavf EasyRSA-3.0.1.tgz
EasyRSA-3.0.1/
EasyRSA-3.0.1/ChangeLog
EasyRSA-3.0.1/COPYING
EasyRSA-3.0.1/doc/
EasyRSA-3.0.1/easyrsa
EasyRSA-3.0.1/gpl-2.0.txt
EasyRSA-3.0.1/openssl-1.0.cnf
EasyRSA-3.0.1/README.quickstart.md
EasyRSA-3.0.1/vars.example
EasyRSA-3.0.1/x509-types/
EasyRSA-3.0.1/x509-types/ca
EasyRSA-3.0.1/x509-types/client
EasyRSA-3.0.1/x509-types/COMMON
EasyRSA-3.0.1/x509-types/server
EasyRSA-3.0.1/doc/EasyRSA-Advanced.md
EasyRSA-3.0.1/doc/EasyRSA-Readme.md
EasyRSA-3.0.1/doc/EasyRSA-Upgrade-Notes.md
EasyRSA-3.0.1/doc/Hacking.md
EasyRSA-3.0.1/doc/Intro-To-PKI.md

Теперь переходим в распакованную директорию и редактируем главный файл конфигурации, в котором будет информация о организации.

root@vpn-server:~# cd EasyRSA-3.0.1
root@vpn-server:~/EasyRSA-3.0.1# cp vars.example vars
root@vpn-server:~/EasyRSA-3.0.1# grep -v '#' vars
...
set_var EASYRSA                 "$PWD/corp"
set_var EASYRSA_REQ_COUNTRY     "UA"
set_var EASYRSA_REQ_PROVINCE    "Kiev obl"
set_var EASYRSA_REQ_CITY        "Kiev"
set_var EASYRSA_REQ_ORG         "Home LTD"
set_var EASYRSA_REQ_EMAIL       "rgb000@home.net"
set_var EASYRSA_REQ_OU          "IT"
set_var EASYRSA_CA_EXPIRE       365
set_var EASYRSA_CERT_EXPIRE     365
...

Все структура ключей будет находиться по пути «$PWD/corp«, куда нужно скопировать папку со всеми x509 типами сертификатов и openssl конфигурационный файл.

root@vpn-server:~/EasyRSA-3.0.1# mkdir corp
root@vpn-server:~/EasyRSA-3.0.1# cp openssl-1.0.cnf corp/
root@vpn-server:~/EasyRSA-3.0.1# cp -R x509-types corp/

Далее нужно инициализировать PKI исходя из введенных данных для последующей генерации сертификатов.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa init-pki

Note: using Easy-RSA configuration from: ./vars

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/vagrant/EasyRSA-3.0.1/corp/pki

3.2 Создание рутового CA сертификата

Генерируем CA.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa build-ca

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
............+++
.........................................................................................................................................................................................................................................................................................+++
writing new private key to '/home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key.GAqMwqkPm1'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:HomeVPN

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/vagrant/EasyRSA-3.0.1/corp/pki/ca.crt

Вам нужно было ввести пароль на ca.key и CN (имя корпорации). После чего у нас появиться <strong>ca.crt</strong> и <strong>ca.key</strong>.

root@vpn-server:~/EasyRSA-3.0.1# tree corp/
corp/
+-- openssl-1.0.cnf
+-- pki
¦   +-- ca.crt
¦   +-- certs_by_serial
¦   +-- index.txt
¦   +-- issued
¦   +-- private
¦   ¦   L-- ca.key
¦   +-- reqs
¦   L-- serial

Проверяем информацию по сертификату

root@vpn-server:~/EasyRSA-3.0.1# openssl x509 -in corp/pki/ca.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 11059372160999538234 (0x997ac862a738be3a)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=HomeVPN
        Validity
            Not Before: Dec  8 20:06:28 2015 GMT
            Not After : Dec  7 20:06:28 2016 GMT
        Subject: CN=HomeVPN
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:bc:c6:34:61:63:62:21:b3:01:a6:fc:5d:7d:74:
                    16:14:97:54:f1:89:09:1d:d4:2f:55:9c:bf:cb:e9:
                    64:a5:fa:13:73:ff:fa:c5:a6:fb:ba:a5:bc:b5:c7:
                    2d:b5:5c:10:71:8a:10:c4:1e:9e:4e:d8:f0:f0:4b:
                    00:62:16:df:88:8d:b7:88:42:83:43:fd:de:93:fd:
                    66:00:b1:16:6f:81:3d:c3:e6:f5:dc:bd:7b:0d:77:
                    26:7c:20:5a:e9:d7:ef:f2:cd:71:a6:c8:23:9a:01:
                    0f:89:74:ef:0f:b5:9b:c4:df:25:17:82:c2:37:0d:
                    db:49:f6:b3:e7:eb:74:74:84:d4:02:05:53:c1:19:
                    f6:bb:92:cb:9f:10:14:30:36:d6:80:74:eb:22:c7:
                    97:e5:93:2b:98:25:88:51:82:5c:32:18:0c:eb:96:
                    e4:c6:9b:c9:db:bd:5e:24:5b:f2:a1:50:80:01:66:
                    0f:59:d3:00:8e:ad:a8:b6:4a:a2:50:43:fd:3f:c3:
                    eb:99:37:24:bb:16:90:58:6e:cf:b7:1c:8b:69:72:
                    ff:54:75:63:0a:96:70:81:18:99:12:33:0b:90:a5:
                    88:d1:2d:8d:b0:d5:59:89:b9:fa:a1:b1:de:54:81:
                    6e:dc:6e:51:e5:63:15:fd:db:0f:32:d7:b4:3f:24:
                    db:ef
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                C6:B2:05:7A:82:23:BA:8B:E1:57:9A:AD:8B:43:54:A9:14:F9:C8:CE
            X509v3 Authority Key Identifier:
                keyid:C6:B2:05:7A:82:23:BA:8B:E1:57:9A:AD:8B:43:54:A9:14:F9:C8:CE
                DirName:/CN=HomeVPN
                serial:99:7A:C8:62:A7:38:BE:3A

            X509v3 Basic Constraints:
                CA:TRUE
            X509v3 Key Usage:
                Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         ad:94:63:9d:e9:fd:ae:85:93:fa:e6:37:56:05:6c:92:fc:b1:
         75:d9:2c:5c:54:50:5a:0d:76:04:19:ab:b1:cf:2d:e3:2d:fe:
         a5:c3:ae:71:de:ad:9e:6e:5e:31:e0:d5:ac:d1:0e:95:39:2f:
         1e:e9:77:e4:8a:f9:eb:97:64:ae:f2:ad:c7:27:a5:0e:f6:f7:
         65:17:3c:f2:02:bd:28:70:e3:51:9b:16:42:fe:29:09:a8:06:
         d5:b9:d6:d0:eb:84:e6:6d:95:98:0d:ac:e0:98:99:a0:94:8d:
         cb:99:b4:d6:27:92:46:bb:7e:59:f3:5f:99:93:a0:e4:7c:8a:
         71:bf:69:49:30:34:e6:5b:60:fe:d1:cd:b9:8d:c4:be:aa:a0:
         0f:fd:98:57:0b:25:0d:6d:1e:b4:47:bf:b4:8b:cd:72:df:22:
         ac:e4:4e:22:fc:88:c5:58:8d:4a:38:e6:cf:59:b9:4d:ce:3c:
         02:4d:f8:fe:bb:6c:a4:0f:3f:e6:32:31:88:f8:88:9f:d7:a2:
         c4:3a:7f:ff:4a:40:14:b2:14:b3:96:55:08:8d:3b:9b:f6:85:
         06:66:82:5f:1a:d1:06:c7:7b:4b:fa:50:92:74:7b:a0:77:ef:
         48:51:b7:d6:0f:e3:d0:e5:aa:43:37:70:61:96:3c:95:fc:83:
         f5:50:d1:81

Теперь можно подписывать клиентские сертификаты, но перед этим нужно создать CRL для отзывов сертификатов.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa gen-crl

Note: using Easy-RSA configuration from: ./vars
Using configuration from /home/vagrant/EasyRSA-3.0.1/corp/openssl-1.0.cnf
Enter pass phrase for /home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key:

An updated CRL has been created.
CRL file: /home/vagrant/EasyRSA-3.0.1/corp/pki/crl.pem

Проверяем список отозванных сертификатов.

root@vpn-server:~/EasyRSA-3.0.1# openssl crl -noout -text -in corp/pki/crl.pem
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /CN=HomeVPN
        Last Update: Dec  8 20:13:47 2015 GMT
        Next Update: Jun  5 20:13:47 2016 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                keyid:C6:B2:05:7A:82:23:BA:8B:E1:57:9A:AD:8B:43:54:A9:14:F9:C8:CE
                DirName:/CN=HomeVPN
                serial:99:7A:C8:62:A7:38:BE:3A

No Revoked Certificates.
    Signature Algorithm: sha256WithRSAEncryption
         b3:c4:ff:52:14:f4:43:ba:c1:57:d4:e2:33:6c:8b:8d:9f:04:
         8c:33:5a:d2:7f:5d:5a:39:00:55:1e:2a:01:89:36:d6:74:53:
         ca:72:92:cf:48:e6:74:5c:65:4d:aa:09:8e:56:55:25:e0:d3:
         bc:da:f2:e6:2a:e7:9e:fc:6c:78:76:6a:24:ea:bc:a9:d4:e4:
         b8:b9:47:c2:b3:38:af:e7:88:9b:ea:0a:b9:7e:41:ca:aa:b3:
         24:cd:c1:23:31:56:33:43:39:f9:a5:85:cd:6b:9a:0d:32:92:
         2b:3f:66:c0:b8:3d:ae:1b:63:0b:a5:c0:f1:00:0b:06:56:eb:
         42:f5:88:8e:4e:9a:2f:0f:ef:fe:d8:38:36:b6:16:46:07:8e:
         5e:96:66:35:44:22:9d:bb:db:4f:f8:5b:a8:a6:1b:ad:d6:05:
         ff:ed:81:77:67:f5:2d:e7:76:3a:56:b6:f7:e0:0d:63:bf:7f:
         68:b9:c9:89:8f:b0:4a:74:40:6d:88:db:e8:aa:1e:66:59:fe:
         2a:b0:8c:29:a0:9f:91:8b:c2:74:e5:c4:be:4c:4c:af:14:69:
         d3:eb:66:e7:37:6d:95:f1:84:c1:0d:aa:18:14:01:ca:cd:ae:
         d0:ac:99:a0:24:66:d2:99:a7:8b:de:8a:ef:a2:08:27:71:aa:
         ce:bf:6a:79

Как видим, мы еще не отозвали никаких сертификатов.

3.3 Создание серверного OpenVPN сертификата

Создаем серверный ключ подписанный CA ключем.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa build-server-full vpn-server

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
....................+++
.....................................................+++
writing new private key to '/home/vagrant/EasyRSA-3.0.1/corp/pki/private/vpn-server.key.kUTa5xWSLG'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /home/vagrant/EasyRSA-3.0.1/corp/openssl-1.0.cnf
Enter pass phrase for /home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'vpn-server'
Certificate is to be certified until Dec  7 20:22:40 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

Смотрим информацию о ключе.

root@vpn-server:~/EasyRSA-3.0.1# openssl x509 -noout -text -in corp/pki/issued/vpn-server.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=HomeVPN
        Validity
            Not Before: Dec  8 20:22:40 2015 GMT
            Not After : Dec  7 20:22:40 2016 GMT
        Subject: CN=vpn-server
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:9b:03:e3:be:f2:46:35:d8:97:3c:a0:02:18:02:
                    f7:69:35:0c:2f:8f:ad:83:ff:39:7d:d9:89:8a:06:
                    77:be:18:f4:f5:1a:84:87:cd:c8:c4:d1:5a:63:24:
                    49:45:70:b6:d0:ae:b5:d3:20:03:f8:1e:15:ec:65:
                    3c:35:07:d0:0a:86:13:cb:72:1c:de:67:08:8d:11:
                    f9:6f:95:cf:4d:e6:10:f3:2f:22:55:f4:b9:fb:17:
                    e6:64:e7:e0:91:ed:3d:dd:51:85:40:a0:5d:03:71:
                    bf:56:82:01:b7:74:ee:a4:4e:eb:33:e5:73:4d:b7:
                    65:c5:55:de:12:5f:da:31:b6:a0:c7:99:59:87:92:
                    11:cc:50:67:e3:23:74:8c:34:89:3d:f6:48:22:5e:
                    6c:34:06:28:74:5b:c8:01:0a:bc:e0:5d:9a:b2:cf:
                    ec:49:43:74:0d:65:f7:0f:75:ff:f3:75:c8:9f:28:
                    8f:d1:5f:d8:c8:dd:fd:0c:fc:76:25:78:9c:59:3e:
                    e8:fc:41:4d:32:66:b2:ea:54:96:f9:13:39:e7:c6:
                    a0:ba:a4:16:36:b9:49:42:04:58:a4:30:eb:30:5b:
                    af:03:24:7a:69:13:6d:ab:ad:40:a1:c6:98:03:e3:
                    bc:bf:0c:26:89:65:4f:25:73:9c:f4:99:e2:56:af:
                    e6:83
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Subject Key Identifier:
                EC:92:76:EB:EA:28:0A:39:FD:DD:C4:9F:4F:D3:49:6F:1A:B7:69:31
            X509v3 Authority Key Identifier:
                keyid:C6:B2:05:7A:82:23:BA:8B:E1:57:9A:AD:8B:43:54:A9:14:F9:C8:CE
                DirName:/CN=HomeVPN
                serial:99:7A:C8:62:A7:38:BE:3A

            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Digital Signature, Key Encipherment
    Signature Algorithm: sha256WithRSAEncryption
         8d:25:33:42:3c:5d:32:5d:8d:c2:29:21:d1:1e:c8:14:b3:57:
         62:89:f7:05:67:d7:5e:9b:de:33:18:a8:a4:55:d0:11:3b:83:
         37:8b:f1:31:ad:91:67:f5:c6:30:68:df:6c:ba:80:5a:86:77:
         ed:7c:c7:21:72:a5:66:b5:f6:e3:25:3a:fb:6a:73:05:68:09:
         6b:3b:ea:66:93:41:6f:6a:30:48:21:e1:d3:9d:87:0e:07:5c:
         16:5a:b5:e5:00:d9:ce:be:d4:95:0f:2b:3c:23:d0:8c:97:d0:
         a5:94:c8:25:40:ad:45:ff:e5:1c:32:8e:b8:28:8b:bc:21:bf:
         4d:33:5a:85:cb:8f:42:d2:fa:5b:58:41:e3:15:fb:57:c4:bf:
         02:76:b7:06:07:41:e6:4f:cb:e4:e0:e9:4d:aa:29:73:ed:bd:
         7e:55:00:b4:88:aa:90:6b:0a:67:11:07:d5:eb:f8:e5:61:13:
         96:57:84:00:fe:e9:76:16:a5:b1:9f:d6:9c:40:43:58:9b:68:
         49:d7:95:89:eb:1e:9b:a3:ff:02:e9:57:ff:43:1e:36:2f:c6:
         8f:c6:e3:14:5d:45:3b:8b:68:9b:24:f5:f8:0a:11:e4:a4:e3:
         c0:d0:4e:95:ba:04:5c:f3:48:2a:b2:e4:21:d2:33:e3:ed:d7:
         09:1e:73:d6

Теперь у нас есть ключ и сертификат для OpenVPN сервера: vpn-server.crt и vpn-server.key.

3.4 Создание клиентских OpenVPN сертификатов

У каждого клиентского сертификата есть Common Name(CN), которое используются OpenVPN для применения дополнительных клиентских настроек (CCD). Создаем первый клиентский ключ.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa build-client-full alex-it

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
..........................+++
..........................................+++
writing new private key to '/home/vagrant/EasyRSA-3.0.1/corp/pki/private/alex-it.key.KUeL3Zi4ix'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /home/vagrant/EasyRSA-3.0.1/corp/openssl-1.0.cnf
Enter pass phrase for /home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'alex-it'
Certificate is to be certified until Dec  7 20:38:17 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

Проверяем сертификат.

root@vpn-server:~/EasyRSA-3.0.1# openssl x509 -noout -text -in corp/pki/issued/alex-it.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=HomeVPN
        Validity
            Not Before: Dec  8 20:38:17 2015 GMT
            Not After : Dec  7 20:38:17 2016 GMT
        Subject: CN=alex-it
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:94:21:b9:b6:69:0c:fd:b6:8c:69:ee:de:e2:82:
                    74:31:b5:86:c4:4f:3f:94:cb:c0:d2:a6:aa:0e:73:
                    44:37:5f:d6:0b:04:0d:65:92:e4:4a:7b:66:b6:09:
                    44:c2:c9:9a:63:83:46:77:cf:e5:e3:ee:dd:1f:e4:
                    22:95:7b:50:b0:2c:45:65:9a:2d:c3:8e:de:60:65:
                    1d:1f:e8:f7:d8:26:19:bb:3a:08:5e:51:15:71:bf:
                    69:5c:55:7d:91:33:a3:ec:c9:58:d6:3f:77:8e:d5:
                    69:56:61:d9:6a:c3:fe:19:ce:ef:ea:eb:0c:18:97:
                    e6:89:fa:67:d1:c9:56:04:c5:af:8d:31:5e:38:ca:
                    b7:c1:7f:0e:6a:95:4a:67:5a:ee:b2:b1:c9:b5:87:
                    81:c5:2b:51:9d:58:e5:64:77:f8:ad:6e:2e:50:29:
                    8f:5c:eb:c7:3f:b5:80:03:28:89:17:8d:49:a5:57:
                    ea:b2:04:01:7a:a7:8c:e8:24:5d:7a:3d:0c:13:f1:
                    30:4c:a8:70:f9:50:c9:3f:c3:b0:3c:21:93:0f:19:
                    83:3b:5a:81:e6:72:85:29:0b:6f:00:9e:3b:b5:76:
                    fc:91:18:50:5b:54:6e:ea:58:ef:48:d0:5c:b2:be:
                    03:b7:34:e7:7d:dc:f3:f5:05:0b:9b:bf:54:1e:53:
                    09:31
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Subject Key Identifier:
                9D:75:CA:19:19:B8:91:BF:C6:4F:9E:72:B8:45:AF:06:7B:52:1E:6B
            X509v3 Authority Key Identifier:
                keyid:C6:B2:05:7A:82:23:BA:8B:E1:57:9A:AD:8B:43:54:A9:14:F9:C8:CE
                DirName:/CN=HomeVPN
                serial:99:7A:C8:62:A7:38:BE:3A

            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
    Signature Algorithm: sha256WithRSAEncryption
         65:40:85:80:0a:15:92:a8:f1:69:1d:d1:f7:4d:8a:17:32:9f:
         c1:64:6a:a2:c4:be:df:99:5a:a9:22:af:ea:c0:45:7a:c4:46:
         f1:87:99:e3:54:29:55:2c:6a:75:13:77:c8:a5:39:58:04:f3:
         c5:82:ee:b0:22:a3:df:20:45:9b:f2:32:ea:6a:71:61:98:68:
         19:00:6d:5b:44:b5:2d:f5:13:78:53:f5:64:45:9b:a2:2d:69:
         4f:8e:31:ea:df:be:32:c3:9e:e9:73:f7:2d:56:e5:94:8a:a9:
         d9:07:65:3c:4f:07:8a:8a:ba:a5:a7:75:12:78:cf:cd:ed:a1:
         2b:f4:0b:ab:30:db:0b:87:55:ea:47:9b:76:04:82:8e:52:bb:
         31:6b:d3:ac:76:56:6b:07:b8:fe:2e:11:21:03:83:ed:6d:71:
         e7:9a:d1:9a:88:28:18:1c:6a:40:b8:24:b4:29:45:fd:4d:05:
         c9:e2:d7:9f:c4:b7:b9:2b:74:cd:eb:ff:68:9a:c2:e6:6e:1c:
         13:75:d1:45:f0:7c:34:67:88:1a:34:32:92:ec:6f:b2:86:f3:
         16:8c:1f:16:29:7c:54:85:1d:38:7d:b6:4f:bf:40:ef:ae:80:
         1d:0b:fc:32:b2:d6:54:58:69:10:32:b6:b9:6e:5f:37:41:63:
         e3:f7:c1:15

Теперь создадим еще два клиентских ключа.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa build-client-full frodo-qa

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
.................................+++
...........+++
writing new private key to '/home/vagrant/EasyRSA-3.0.1/corp/pki/private/frodo-qa.key.NsZyRkVitE'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /home/vagrant/EasyRSA-3.0.1/corp/openssl-1.0.cnf
Enter pass phrase for /home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'frodo-qa'
Certificate is to be certified until Dec  7 20:43:55 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa build-client-full jack-hr

Note: using Easy-RSA configuration from: ./vars
Generating a 2048 bit RSA private key
...........................................+++
.........+++
writing new private key to '/home/vagrant/EasyRSA-3.0.1/corp/pki/private/jack-hr.key.cKHMJvrjq8'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /home/vagrant/EasyRSA-3.0.1/corp/openssl-1.0.cnf
Enter pass phrase for /home/vagrant/EasyRSA-3.0.1/corp/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :PRINTABLE:'jack-hr'
Certificate is to be certified until Dec  7 20:45:20 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

Мы создали ключи и сертификаты для CA, OpenVPN сервера и клиентов.

root@vpn-server:~/EasyRSA-3.0.1# tree corp/
corp/
+-- openssl-1.0.cnf
+-- pki
¦   +-- ca.crt
¦   +-- certs_by_serial
¦   ¦   +-- 01.pem
¦   ¦   +-- 02.pem
¦   ¦   +-- 03.pem
¦   ¦   L-- 04.pem
¦   +-- crl.pem
¦   +-- index.txt
¦   +-- index.txt.attr
¦   +-- index.txt.attr.old
¦   +-- index.txt.old
¦   +-- issued
¦   ¦   +-- alex-it.crt
¦   ¦   +-- frodo-qa.crt
¦   ¦   +-- jack-hr.crt
¦   ¦   L-- vpn-server.crt
¦   +-- private
¦   ¦   +-- alex-it.key
¦   ¦   +-- ca.key
¦   ¦   +-- frodo-qa.key
¦   ¦   +-- jack-hr.key
¦   ¦   L-- vpn-server.key
¦   +-- reqs
¦   ¦   +-- alex-it.req
¦   ¦   +-- frodo-qa.req
¦   ¦   +-- jack-hr.req
¦   ¦   L-- vpn-server.req
¦   +-- serial
¦   L-- serial.old
L-- x509-types
    +-- ca
    +-- client
    +-- COMMON
    L-- server

6 directories, 30 files

3.5 Список отозванных сертификатов

Если кто-то потерял свой секретный ключ или сертификат, или же он был скомпрометирован – эго нужно отозвать. Это можно легко сделать используя easy-RSA.

root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa revoke alex-it
root@vpn-server:~/EasyRSA-3.0.1# ./easyrsa gen-crl

После этих действий у нас обновиться CRL файл, который нужно прописать в OpenVPN конфигурации сервера (директива crl-verify).

root@vpn-server:~/EasyRSA-3.0.1# cp corp/pki/crl.pem /etc/openvpn/certs/crl.pem

Теперь смотрим какие у нас есть отозванные сертификаты.

root@vpn-server:~/EasyRSA-3.0.1# openssl crl -noout -text -in /etc/openvpn/certs/crl.pem
Certificate Revocation List (CRL):
        Version 2 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: /CN=Home OpenVPN
        Last Update: Dec  7 19:40:27 2015 GMT
        Next Update: Jun  4 19:40:27 2016 GMT
        CRL extensions:
            X509v3 Authority Key Identifier:
                keyid:6A:48:F5:4D:9A:3E:BC:B6:F9:BD:64:BA:0F:4A:2B:44:F8:66:09:7E
                DirName:/CN=Home OpenVPN
                serial:CC:24:2B:C0:05:BB:66:06

Revoked Certificates:
    Serial Number: 02
        Revocation Date: Dec  7 19:21:10 2015 GMT
    Signature Algorithm: sha256WithRSAEncryption
         00:ea:48:05:4a:23:8f:4d:60:06:fe:02:d5:f4:90:75:e0:54:
         e9:74:cf:2d:a0:0e:4d:d9:82:2f:24:41:a2:9a:c8:ea:e1:f2:
         37:eb:2d:9a:fb:1b:b5:e9:23:40:47:34:17:86:d3:21:26:1e:
         59:c8:d2:5c:fc:59:62:a5:76:78:f0:b2:36:cf:0d:9a:8d:54:
         0e:69:d2:37:27:64:64:4e:e5:5c:f1:e2:0d:78:95:da:29:15:
         df:23:19:a0:46:b5:4e:d1:f4:07:79:bf:6d:c3:0f:f1:cf:b4:
         b9:ec:72:8e:d7:9b:cc:6f:6b:05:ad:51:94:1d:82:e1:1a:3c:
         65:35:39:f8:41:45:29:2f:85:f3:ff:8f:c3:02:7a:9d:0c:55:
         a6:e6:45:ad:e4:df:4d:53:c1:b7:9b:5b:33:65:81:2b:40:ae:
         fd:5e:ee:e4:7c:d5:ca:11:6d:1f:1c:e6:83:f0:ca:b9:1c:c4:
         b5:5b:ff:d2:84:de:e1:a1:aa:65:77:5b:18:fb:12:54:fb:af:
         15:92:e0:0d:5b:5d:d4:7c:6b:a6:5d:38:71:38:25:68:2e:a0:
         c5:65:f1:bb:17:b4:c2:e0:3b:00:f2:4e:48:30:1f:ae:4d:e2:
         49:4d:48:56:1d:86:f2:28:50:94:ef:37:31:64:94:cf:10:05:
         d4:3c:45:ea

Как видим, мы отозвали сертификат с Serial Number: 02, т.е. alex-it. Serial Number было видно, когда мы смотрели информацию по ключам используя openSSL. Вот и все.

Автор: admin, 17 января 2016
Рубрики: Безопасность
Метки:
Один комментарий к сообщению: “OpenVPN. Генерация PKI сертификатов”
  1. Иван:

    Спасибо за отличную статью.
    Теперь понятна последовательность действий и можно двигаться дальше.

Написать комментарий

Проверка на бота * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

Последние статьи

Яндекс.Метрика
?>