Generowanie certyfikatów dla OpenVPN w Ubuntu 12.04 LTS

Certificate Authority Setup

Wszystkie czynności wykonaj jako root.
Najpierw skopiuj katalog easy-rsa do katalogu /etc/openvpn.

mkdir /etc/openvpn/easy-rsa/
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

Następnie poddaj edycji plik /etc/openvpn/easy-rsa/vars dopasowując go do swoich potrzeb:

export KEY_COUNTRY="US"
export KEY_PROVINCE="NC"
export KEY_CITY="Winston-Salem"
export KEY_ORG="Example Company"
export KEY_EMAIL="steve@example.com"

Aby rozpocząć generowanie certyfikatu wykonaj:

cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-ca

Generowanie certyfikatu i klucza prywatnego dla serwera

./build-key-server nazwaserwera
cd keys
openvpn --genkey --secret ta.key

Musimy potwierdzić chęć wystawienia certyfikatu.
„Sign the certificate? [y/n]” and „1 out of 1 certificate requests certified, commit? [y/n]”.

Generujemy plik DH dla OpenVPN:

./build-dh

Wszystkie klucze i certyfikaty zostały wygenerowane w podkatalogu keys/. Najlepiej skopiować je do katalogu /etc/openvpn/:

cp nazwaserwera.crt nazwaserwera.key ca.crt dh1024.pem ta.key /etc/openvpn/

Certyfikaty dla klienta

cd /etc/openvpn/easy-rsa/
source vars
./build-key client1

Przekaż klientowi w bezpieczny sposób poniższe pliki

• /etc/openvpn/ca.crt
• /etc/openvpn/ta.key
• /etc/openvpn/easy-rsa/keys/client1.crt
• /etc/openvpn/easy-rsa/keys/client1.key

Opis edycji pliku konfiguracyjnego dla OpenVPN nie zmienił się w porównaniu z poprzednią wersją systemu.