ใครช่วยกรุณาอธิบายตัวเลือก easyrsa vars สำหรับการสร้าง PKI


24

ฉันใช้ OpenVPN และในขณะที่ฉันสามารถสร้างใบรับรองโดยใช้ easyrsa ได้ แต่ฉันไม่เข้าใจการตั้งค่าในไฟล์ easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

ใครสามารถอธิบายการตั้งค่าเหล่านี้ได้บ้าง ขอบคุณล่วงหน้า.

คำตอบ:


17

การตั้งค่าเหล่านี้สำหรับใบรับรอง (ใบรับรองเป็นข้อมูลสาธารณะ + (นี้) ข้อมูลที่ลงชื่อโดยหน่วยงานผู้ออกใบรับรอง)

ดังนั้นในกรณีของคุณเหล่านี้คือประเทศของคุณ (ที่ซึ่งคุณอาศัยอยู่, ที่ บริษัท ของคุณ), จังหวัด (เดียวกัน), เมือง (เดียวกัน), ชื่อองค์กร, อีเมล, ชื่อสามัญ (เฉพาะสำหรับ CA นี้), ชื่อและหน่วยองค์กร - ในคำสั่งนี้

สองบรรทัดสุดท้ายคือพา ธ และพินสำหรับ PKCS11 (โดยปกติคือสมาร์ทการ์ด)

ฉันเดาว่าคุณกำลังใช้ easy-rsa; หากคุณไม่ได้ตั้งค่าตัวแปรนี้มันจะถามคุณเมื่อคุณเรียกใช้เครื่องมือเพื่อสร้างใบรับรอง


2
ขอบคุณ - สิ่งที่ฉันต้องการทราบก็คือฉันจะสร้างค่าสำหรับ KEY_CN KEY_NAME และ KEY_OU ได้อย่างไรและฉันจะรักษาสิ่งเหล่านี้ให้เหมือนกันในสคริปต์ build_ca และสคริปต์สร้าง build-key-server และ build-key หรือไม่
ilium007

1
CN เท่านั้นต้องเป็น uniqe ดังนั้นให้พิจารณาใช้ชื่อผู้ใช้ของผู้ใช้หรือสิ่งที่คล้ายกัน OU สามารถเป็นอะไรก็ได้ที่คุณต้องการ (การตลาดวิศวกรรมหรือเปล่า)
mulaz

1
ดูเหมือนว่าเป็นการดีกว่าที่จะปล่อยให้ CN ตั้งค่าไว้มิฉะนั้นคุณจะต้องแทนที่มันทุกครั้งด้วย: KEY_CN=foobar ./pkitool foobarเมื่อสร้างคีย์
isaaclw

ข้อมูลเพิ่มเติมว่าเหตุใด KEY_CN จึงมีความสำคัญ: ในกรณีที่ KEY_CN นั้นไม่ซ้ำกัน OpenVPN จะเริ่มตัดการเชื่อมต่อไคลเอ็นต์ด้วยชื่อสามัญเดียวกันเว้นแต่ว่าduplicate-cnการตั้งค่าจะถูกเปิดใช้งาน (โดยค่าเริ่มต้นจะปิดใช้งาน)
Roland Pihlakas

ข้อมูลเพิ่มเติมและลิงก์ใน Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.