OpenVPN - Ca.CRT 澄清 - 遷移 OpenVPN 問題
所以我已經遷移了看起來很簡單的 OpenVPN 伺服器,我只是將 /etc/openvpn/* 複製到了新伺服器。
但是,當我生成密鑰時,客戶端連接時出現錯誤。當我使用舊的 ca.crt 時,我能夠成功連接。
我有一些相關的簡單問題..
- ca.crt 是我們所有客戶獲得的同一個文件,還是每個使用者生成的文件?(我的印像是每個客戶都有相同的文件,但我不是 100%)
- 我通常生成3個文件
client.csr client.crt client.key在 .ovpn 配置文件中,它要求
ca.crt client.crt client.key3. 客戶端獲得的哪些文件是基於每個使用者生成的,這三個文件中的哪一個通常是?
我對我需要哪些文件有點困惑,我很久以前就為自己做過這個,但現在我被要求在更大的範圍內做這件事,然後需要一個更徹底的理解,“它作品”。
我認為我過去所做的是將client.csr 重命名為client.ca,但我可能是錯的。
/etc/openvpn/ 的根目錄中有一個 ca.crt 但它不起作用!但是,看起來我在 /etc/openvpn/techsupport/ 下放棄了另一個完整的證書樹,但它自 2011 年以來就沒有使用過!那裡也有一個 ca.crt 我需要嘗試。
我不是 100% 這是正確的,所以如果不是,請告訴我,我不想傳播錯誤資訊,但我為我的假設/答案找到了一個不錯的來源。
我在使用時技術上創建了 4 個文件
./build-key-pass
Id.pem = where Id is the index number client.crt = Clients Cert cleint.key = client Key client.csr = Client Signing Request客戶得到以下資訊:
clients: ca.crt CA's public certificate ClientXXXX.crt The client certificate ClientXXXX.key The client key創建/簽署 CSR 後,可以將其刪除(基於我在此處的閱讀)
ID.pem 用於以後的撤銷,一種基於文件的數據庫系統。您需要的兩個文件是 client.crt 和 client.key,然後是“ public CA.crt”,這意味著它具有 2 個品質。
它不是秘密的,它與所有 Open-VPN-Key 對一起部署。
所以我的問題是我一直在使用 /etc/openvpn/* 目錄中不正確的 ca.crt,我應該將它與明顯廢棄的 /techsupport 一起存檔,然後在伺服器上重新創建 ca.crt 所以這種混亂不會再次發生。
After comparing my ca.crt with a co-workers, this seems the logical choice.最後一點:
- /etc/openvpn/ 中的文件 ca.crt 是否用於任何用途,或者只是將其用於儲存的邏輯位置?
$$ UPDATE $$關於我的最後一點,我注意到 /certs/keys/ 裡面有一個 ca.crt,這是我在本地擁有的。同樣,我的問題是,/etc/openvpn/ 中的 ca.crt 是否有任何作用,是否應該將其刪除/替換為 /keys/ 中的那個,我的想法是它來自舊的設置/配置?