Управление ключами и сертификатами OpenVPN в XCA
За основу взята статья 2011 года Using XCA to configure the OpenVPN PKI part as an alternative to OpenVPN's easy-rsa (carbonwind_xca-openvpn.odt)
Для удобства работы создана БД OpenVPN.xdb с шаблонами:
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
Подписание
выбрать Создать самозаверенный сертификат
Алгоритм подписи
выбрать SHA1
Шаблон
для нового сертификата выбрать OpenVPN_ЦС
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
нажать кнопку Создать.
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»:
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) OpenVPN CA
Алгоритм подписи
выбрать SHA 1
Шаблон для нового сертификата
выбрать OpenVPN_Сервер
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
Нажать кнопку Создать
Теперь в поле Закрытый ключ
нужно выбрать только что созданный ключ OpenVPN Server (RSA:2048 bit)
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»:
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) OpenVPN CA
Алгоритм подписи
выбрать SHA 1
Шаблон для нового сертификата
выбрать OpenVPN_Клиент
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Важно заполнить поле commonName
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
Нажать кнопку Создать
Из шаблона подставляются значения для вкладок:
Расширения
Область применения ключа
Netscape
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
При необходимости можно выполнить процесс «с нуля»: