Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
xca:openvpn [2019-01-26 22:23] GreyWolf |
xca:openvpn [2022-04-22 09:14] (текущий) GreyWolf [Создание сертификата клиента] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== XCA — OpenVPN ====== | ====== XCA — OpenVPN ====== | ||
- | FIXME | + | {{:xca:bigkey.png|}} {{:openvpn:openvpntech_logo_rounded_antialiased1.png?300|}} |
- | <WRAP round info 25%> | + | |
- | Проверенно в XCA 2.1.2 | + | |
- | </WRAP> | + | |
Управление ключами и сертификатами [[openvpn:openvpn|OpenVPN]] в [[xca:xca|XCA]] | Управление ключами и сертификатами [[openvpn:openvpn|OpenVPN]] в [[xca:xca|XCA]] | ||
- | За основу взята статья 2011 года [[http://www.carbonwind.net/VPN/XCA_OpenVPN/XCA_OpenVPN.htm|Using XCA to configure the OpenVPN PKI part as an alternative to OpenVPN's easy-rsa]]. | + | За основу взята статья 2011 года [[http://www.carbonwind.net/VPN/XCA_OpenVPN/XCA_OpenVPN.htm|Using XCA to configure the OpenVPN PKI part as an alternative to OpenVPN's easy-rsa]] ({{:xca:carbonwind_xca-openvpn.odt|}}) |
Для удобства работы создана БД {{:xca:openvpn.xdb|OpenVPN.xdb}} с шаблонами: | Для удобства работы создана БД {{:xca:openvpn.xdb|OpenVPN.xdb}} с шаблонами: | ||
Строка 16: | Строка 13: | ||
====== Ограничения ====== | ====== Ограничения ====== | ||
- | - Нельзя сохранить в БД параметры Диффи — Хеллмана, их можно только создать: [[#Генерация параметров Диффи — Хеллмана]]. Открыта [[https://github.com/chris2511/xca/issues/96|тема #96]]. | + | - Нельзя сохранить в БД параметры Диффи — Хеллмана, их можно только создать: [[xca:xca#Генерация параметров Диффи — Хеллмана]]. Открыта [[https://github.com/chris2511/xca/issues/96|тема #96]]. |
- Нельзя создать и сохранить в БД ''ta.key'', используемый для ''tls-auth''. Открыта [[https://github.com/chris2511/xca/issues/89|тема #89]]. | - Нельзя создать и сохранить в БД ''ta.key'', используемый для ''tls-auth''. Открыта [[https://github.com/chris2511/xca/issues/89|тема #89]]. | ||
====== Типовые действия ====== | ====== Типовые действия ====== | ||
* **[[#Создание нового клиента]]** | * **[[#Создание нового клиента]]** | ||
- | * **[[#Отзыв сертификата]]** | + | * **[[xca:xca#Отзыв сертификата]]** |
* **[[#Создание нового сервера]]** | * **[[#Создание нового сервера]]** | ||
* **[[#Создание нового центра сертификации]]** | * **[[#Создание нового центра сертификации]]** | ||
Строка 27: | Строка 24: | ||
===== Создание нового сервера ===== | ===== Создание нового сервера ===== | ||
+ | - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]] | ||
- [[#Создание сертификата сервера]] | - [[#Создание сертификата сервера]] | ||
- | - [[#Экспорт сертификата центра сертификации]] | + | - [[xca:xca#Экспорт сертификата]] |
- | - [[#Экспорт сертификата сервера]] | + | - [[xca:xca#Экспорт закрытого ключа]] |
- | - [[#Экспорт закрытого ключа сервера]] | + | - [[xca:xca#Генерация параметров Диффи — Хеллмана]] |
- | - [[#Генерация параметров Диффи — Хеллмана]] | + | |
===== Создание нового клиента ===== | ===== Создание нового клиента ===== | ||
+ | - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]] | ||
- [[#Создание сертификата клиента]] | - [[#Создание сертификата клиента]] | ||
- | - [[#Экспорт сертификата клиента]] | + | - [[xca:xca#Экспорт сертификата]] |
- | - [[#Экспорт закрытого ключа клиента]] | + | - [[xca:xca#Экспорт закрытого ключа]] |
====== Создание нового центра сертификации ====== | ====== Создание нового центра сертификации ====== | ||
Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | ||
+ | |||
На вкладке ''Первоисточник'' | На вкладке ''Первоисточник'' | ||
- | * выбрать ''Алгоритм подписи'' выбрать ''SHA1'' | + | * в разделе ''Подписание'' выбрать ''Создать самозаверенный сертификат'' |
+ | * в поле ''Алгоритм подписи'' выбрать ''SHA1'' | ||
* в разделе ''Шаблон'' для нового сертификата выбрать ''OpenVPN_ЦС'' | * в разделе ''Шаблон'' для нового сертификата выбрать ''OpenVPN_ЦС'' | ||
Нажать кнопку <key>Применить всё</key> | Нажать кнопку <key>Применить всё</key> | ||
На вкладке ''Субъект'' нужно заполнить поля: | На вкладке ''Субъект'' нужно заполнить поля: | ||
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''[[xca:xca#organizationUnitName]]'' |
- | * ''commonName'' | + | * ''[[xca:xca#commonName]]'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 84: | Строка 84: | ||
На вкладке ''Субъект'' нужно заполнить поля: | На вкладке ''Субъект'' нужно заполнить поля: | ||
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''[[xca:xca#organizationUnitName]]'' |
- | * ''commonName'' | + | * ''[[xca:xca#commonName]]'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 136: | Строка 136: | ||
Нажать кнопку <key>Применить всё</key> | Нажать кнопку <key>Применить всё</key> | ||
- | На вкладке Субъект нужно заполнить поля: | + | На вкладке ''Субъект'' нужно заполнить поля: |
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''[[xca:xca#organizationUnitName]]'' |
- | * ''commonName'' | + | * ''[[xca:xca#commonName]]'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 176: | Строка 176: | ||
Нажать кнопку <key>Применить всё</key> | Нажать кнопку <key>Применить всё</key> | ||
- | На вкладке Субъект нужно заполнить поля: | + | На вкладке ''Субъект'' нужно заполнить поля: |
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''[[xca:xca#organizationUnitName]]'' |
- | * ''commonName'' | + | * ''[[xca:xca#commonName]]'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 229: | Строка 229: | ||
</hidden> | </hidden> | ||
====== Создание сертификата клиента ====== | ====== Создание сертификата клиента ====== | ||
+ | |||
Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | ||
Строка 238: | Строка 239: | ||
На вкладке ''Субъект'' нужно заполнить поля: | На вкладке ''Субъект'' нужно заполнить поля: | ||
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''[[xca:xca#organizationUnitName]]'' |
- | * ''commonName'' | + | * ''**[[xca:xca#commonName]]**'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
+ | <WRAP center round important 60%> | ||
+ | Важно заполнить поле **''[[xca:xca#commonName]]''** | ||
+ | </WRAP> | ||
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 276: | Строка 281: | ||
На вкладке ''Субъект'' нужно заполнить поля: | На вкладке ''Субъект'' нужно заполнить поля: | ||
- | * ''Internal Name'' | + | * ''[[xca:xca#Internal Name]]'' |
- | * ''countryName'' | + | * ''[[xca:xca#countryName]]'' |
- | * ''stateOfProvinceName'' | + | * ''[[xca:xca#stateOfProvinceName]]'' |
- | * ''localityName'' | + | * ''[[xca:xca#localityName]]'' |
- | * ''organizationName'' | + | * ''[[xca:xca#organizationName]]'' |
- | * ''organizationUnitName'' | + | * ''**[[xca:xca#organizationUnitName]]**'' |
- | * ''commonName'' | + | * ''[[xca:xca#commonName]]'' |
- | * ''emailAddress'' | + | * ''[[xca:xca#emailAddress]]'' |
Нажать кнопку <key>Сгенерировать новый ключ</key> | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
Строка 327: | Строка 332: | ||
</hidden> | </hidden> | ||
- | ====== Экспорт сертификата центра сертификации ====== | ||
- | - Перейти на вкладку ''Сертификаты'' | ||
- | - Выбрать нужный ''Сертификат'' центра сертификации (ЦС) | ||
- | - Нажать кнопку <key>Экспорт</key> | ||
- | - В появившемся окне нужно в поле ''Формат сертификата'' выбрать ''PEM (*.crt)'', указать путь к файлу | ||
- | - Нажать кнопку <key>OK</key> | ||
- | |||
- | |||
- | ====== Экспорт сертификата сервера ====== | ||
- | - Перейти на вкладку ''Сертификаты'' | ||
- | - Выбрать нужный ''Сертификат'' сервера | ||
- | - Нажать кнопку <key>Экспорт</key> | ||
- | - В появившемся окне нужно в поле ''Формат сертификата'' выбрать ''PEM (*.crt)'', указать путь к файлу | ||
- | - Нажать кнопку <key>OK</key> | ||
- | |||
- | |||
- | ====== Экспорт закрытого ключа сервера ====== | ||
- | - Перейти на вкладку ''Закрытые ключи'' | ||
- | - Выбрать нужный ''Закрытый ключ'' сервера | ||
- | - Нажать кнопку <key>Экспорт</key> | ||
- | - В появившемся окне нужно в поле ''Формат для экспорта'' выбрать ''Закрытый ключ PEM (*.pem)'', указать путь к файлу | ||
- | - Нажать кнопку <key>OK</key> | ||
- | |||
- | |||
- | ====== Экспорт сертификата клиента ====== | ||
- | - Перейти на вкладку ''Сертификаты'' | ||
- | - Выбрать нужный ''Сертификат'' клиента | ||
- | - Нажать кнопку <key>Экспорт</key> | ||
- | - В появившемся окне нужно в поле ''Формат сертификата''выбрать ''PEM (*.crt)'', указать путь к файлу | ||
- | - Нажать кнопку <key>OK</key> | ||
- | |||
- | |||
- | ====== Экспорт закрытого ключа клиента ====== | ||
- | - Перейти на вкладку ''Закрытые ключи'' | ||
- | - Выбрать нужный ''Закрытый ключ'' клиента | ||
- | - Нажать кнопку <key>Экспорт</key> | ||
- | - В появившемся окне нужно в поле ''Формат для экспорта''выбрать ''Закрытый ключ PEM (*.pem)'', указать путь к файлу | ||
- | - Нажать кнопку <key>OK</key> | ||
- | |||
- | ====== Генерация параметров Диффи — Хеллмана ====== | ||
- | |||
- | - Меню ''Дополнительно/Сгенерировать параметры Диффи — Хеллмана'' | ||
- | - В окне появившемся окне нужно выбрать ''2048'' | ||
- | - Нажать кнопку <key>OK</key> | ||
- | - Начнётся процесс генерации, который может занять несколько минут! | ||
- | - После появится диалог с переложением сохранить из в файл ''dh2048.pem'' | ||
- | |||
- | ====== Отзыв сертификата ====== | ||
- | - Перейти на вкладку ''Сертификаты'' | ||
- | - Выбрать нужный ''Сертификат'' | ||
- | - Нажать правую кнопку мыши и в контекстном меню выбрать ''Отозвать'' | ||
- | - Выполнить [[#Экспорт списка отзыва]] | ||
- | |||
- | ====== Экспорт списка отзыва ====== | ||
- | - Выбрать нужный ''Центр сертификации'' (ЦС) | ||
- | - Нажать правую кнопку мыши и в контекстном меню выбрать ЦС/Сгенерировать CRL | ||
- | - Задать нужные значения и нажать кнопку <key>OK</key> | ||
- | - Перейти на вкладку ''Списки отзыва сертификатов'' | ||
- | - Выбрать нужный ''Список отзыва'' | ||
- | - Нажать на кнопку ''Экспорт'' | ||
- | - В окне "Экспорт списка отзывов" нужно задать путь и имя файла, формат файла PEM (*.pem) | ||
- | - нажать кнопку <key>OK</key> | ||
====== Ссылки ====== | ====== Ссылки ====== |