誰かがPKI生成のためのeasyrsa varsオプションを説明してください

24

私はOpenVPNを使用していますが、easyrsaを使用して証明書を生成することはできますが、easyrsa varsファイルの設定は実際にはわかりません。

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

誰でもこれらの設定を説明できますか?前もって感謝します。

openvpn  pki 
ilium007
ソース

回答:

17

これらは証明書の設定です(証明書は公開鍵+(この)認証局によって署名された情報です)。

あなたの場合、これらはあなたの国(あなたが住んでいる場所、会社の場所)、州(同じ)、市(同じ)、組織名、電子メール、共通名(このCAに固有)、名前、および組織単位です-この順序で。

最後の2行は、PKCS11のパスとピンです(通常はスマートカード用)。

easy-rsaを使用していると思います。この変数を設定しない場合は、ツールを実行して証明書を生成するときに、変数の入力を求められます。

ムラーズ
ソース
2
ありがとう-私も知りたいのは、KEY_CN KEY_NAMEとKEY_OUの値をどのように考え出し、build_caスクリプトとbuild-key-serverとbuild-keyスクリプト全体でこれらを同じにするのですか?
ilium007
1
CNのみが一意である必要があるため、ユーザーのユーザー名などを使用することを検討してください。OUは、希望するものであれば何でもかまいません(マーケティング、エンジニアリング、または空)
mulaz
1
CNを未設定のままにしておくことをお勧めします。それ以外の場合はKEY_CN=foobar ./pkitool foobar、キーを作成する際に毎回それをオーバーライドする必要があります。
isaaclw
KEY_CNが重要である理由の追加情報:KEY_CNが一意でない場合、duplicate-cn設定が有効(デフォルトでは無効)でない限り、OpenVPNは同じ共通名のクライアントの切断を開始します。
ローランドピフラカス
ウィキペディアの詳細情報とリンク:en.wikipedia.org/wiki/Certificate_signing_request
MikeW
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.