Это старая версия документа!
XCA — OpenVPN
Ограничения
-
Нельзя создать и сохранить в
БД ta.key
, используемый для
tls-auth
. Открыта
тема #89.
Типовые действия
Создание нового сервера
Создание нового клиента
Создание нового центра сертификации
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
нажать кнопку Создать.
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»:
Создание нового центра сертификации «с нуля»
Создание нового центра сертификации «с нуля»
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
в разделе Подписание
выбрать Создать самозаверенный сертификат
выбрать Алгоритм подписи
выбрать SHA1
в разделе Шаблон
для нового сертификата выбрать [default] CA
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
нажать кнопку Создать.
На вкладке Расширения
в поле Тип
нужно выбрать Центр сертификации
, для остальных полей можно оставить значения по умолчанию.
На вкладке Область применения ключа
в поле X509v3 Key usage
нужно выбрать
Certificate Sign
CLR Sign
На вкладке Netscape
в поле Netscape Cert Type
нужно выбрать:
SSL CA
S/MIME CA
Object Signing CA
Также нужно удалить значение поля Netscape Comment
На вкладке Дополнительно
будет показана результирующая информация:
X509v3 Basic Constraints critical:
CA:TRUE
X509v3 Subject Key Identifier:
E1:88:9E:34:60:7B:00:4D:98:9B:03:62:D7:B3:BD:DC:D2:24:68:31
X509v3 Key Usage:
Certificate Sign, CRL Sign
Netscape Cert Type:
SSL CA, S/MIME CA, Object Signing CA
Netscape Comment:
xca certificate
Проверив её можно нажать кнопку OK
Создание сертификата сервера
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
в поле Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) OpenVPN CA
в поле Алгоритм подписи
выбрать SHA 1
в поле Шаблон для нового сертификата
выбрать OpenVPN_Сервер
Нажать кнопку Применить всё
На вкладке Субъект нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Нажать кнопку Создать
Теперь в поле Закрытый ключ
нужно выбрать только что созданный ключ OpenVPN Server (RSA:2048 bit)
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»:
Создание сертификата сервера «с нуля»
Создание сертификата сервера «с нуля»
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Нажать кнопку Применить всё
На вкладке Субъект нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Нажать кнопку Создать
Теперь в поле Закрытый ключ
нужно выбрать только что созданный ключ OpenVPN Server (RSA:2048 bit)
На вкладке Расширения
в разделе X509v3 Base constraints
в поле Тип
выбрать Конечный субъект
В разделе Key identifier
нужно выбрать:
✔ Critical
✔ Subject Key Identifier
Также нужно задать период действия ключа.
На вкладке Область применения ключа
в поле X509v3 Key Usage
выбрать:
Digital Signature
Key Encipherment
в поле X509v3 Extended Key Usage
выбрать:
На вкладке Netscape
нужно выбрать
и удалить значение поля Netscape Comment
На вкладке Дополнительно
будет показана результирующая информация:
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
C1:32:F2:14:7F:3B:CB:44:B4:25:C8:C2:41:4C:B1:D4:80:9B:D4:A3
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Netscape Cert Type:
SSL Server
Проверив её можно нажать кнопку OK
Создание сертификата клиента
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
в поле Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) OpenVPN CA
в поле Алгоритм подписи
выбрать SHA 1
в поле Шаблон для нового сертификата
выбрать OpenVPN_Клиент
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Нажать кнопку Создать
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»:
Создание сертификата клиента «с нуля»
Создание сертификата клиента «с нуля»
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Нажать кнопку Создать
На вкладке Расширения
в разделе X509v3 Base constraints
в поле Тип
выбрать Конечный субъект
В разделе Key identifier
нужно выбрать:
✔ Critical
✔ Subject Key Identifier
Также нужно задать период действия ключа.
На вкладке Область применения ключа
в поле X509v3 Key Usage
выбрать:
Digital Signature
Key Agreement
в поле X509v3 Extended Key Usage
выбрать:
На вкладке Netscape
нужно выбрать
и удалить значение поля Netscape Comment
На вкладке Дополнительно
будет показана результирующая информация:
X509v3 Basic Constraints critical:
CA:FALSE
X509v3 Subject Key Identifier:
1D:B8:66:BD:49:11:B3:83:10:E5:F3:7F:92:53:6D:AE:97:64:FB:83
X509v3 Key Usage:
Digital Signature, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client Authentication
Netscape Cert Type:
SSL Client, S/MIME
Проверив её можно нажать кнопку OK
Экспорт сертификата центра сертификации
Перейти на вкладку Сертификаты
Выбрать нужный Сертификат
центра сертификации (ЦС)
Нажать кнопку Экспорт
В появившемся окне нужно в поле Формат сертификата
выбрать PEM (*.crt)
, указать путь к файлу
Нажать кнопку OK
Экспорт сертификата сервера
Перейти на вкладку Сертификаты
Выбрать нужный Сертификат
сервера
Нажать кнопку Экспорт
В появившемся окне нужно в поле Формат сертификата
выбрать PEM (*.crt)
, указать путь к файлу
Нажать кнопку OK
Экспорт закрытого ключа сервера
Перейти на вкладку Закрытые ключи
Выбрать нужный Закрытый ключ
сервера
Нажать кнопку Экспорт
В появившемся окне нужно в поле Формат для экспорта
выбрать Закрытый ключ PEM (*.pem)
, указать путь к файлу
Нажать кнопку OK
Экспорт сертификата клиента
Перейти на вкладку Сертификаты
Выбрать нужный Сертификат
клиента
Нажать кнопку Экспорт
В появившемся окне нужно в поле Формат сертификата
выбрать PEM (*.crt)
, указать путь к файлу
Нажать кнопку OK
Экспорт закрытого ключа клиента
Перейти на вкладку Закрытые ключи
Выбрать нужный Закрытый ключ
клиента
Нажать кнопку Экспорт
В появившемся окне нужно в поле Формат для экспорта
выбрать Закрытый ключ PEM (*.pem)
, указать путь к файлу
Нажать кнопку OK
Генерация параметров Диффи — Хеллмана
Меню Дополнительно/Сгенерировать параметры Диффи — Хеллмана
В окне появившемся окне нужно выбрать 2048
Нажать кнопку OK
Начнётся процесс генерации, который может занять несколько минут!
После появится диалог с переложением сохранить из в файл dh2048.pem
Отзыв сертификата
Перейти на вкладку Сертификаты
Выбрать нужный Сертификат
Нажать правую кнопку мыши и в контекстном меню выбрать Отозвать
-
Экспорт списка отзыва
Перейти на вкладку Сертификаты
Выбрать нужный Центр сертификации
(ЦС)
Нажать правую кнопку мыши и в контекстном меню выбрать ЦС/Сгенерировать CRL
Задать нужные значения и нажать кнопку OK
Перейти на вкладку Списки отзыва сертификатов
Выбрать нужный Список отзыва
Нажать на кнопку Экспорт
В окне «Экспорт списка отзывов» нужно задать путь и имя файла, формат файла PEM (*.pem)
нажать кнопку OK
Поля
Internal Name
Это имя используется только внутри программы XCA и не сохранятся в сертификате.
countryName
[C]
Код страны (два символа), например RU
stateOfProvinceName
[ST]
Регион (область, республика) внутри страны (128 символов).
localityName
[L]
Город или населённый пункт (128 символов).
organizationName
[O]
Наименование организации (64 символа).
organizationUnitName
[OU]
Наименование подразделения организации.
commonName
[CN]
Наименование субъекта. (64 символа).
emailAddress
Адрес электронной почты (128 7-битных символов).
Ссылки