Alguém pode explicar as opções do easyrsa vars para geração de PKI

24

Estou usando o OpenVPN e, embora possa gerar certificados usando o easyrsa, não entendo muito bem as configurações no arquivo easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Alguém pode explicar essas configurações? Desde já, obrigado.

ilium007
fonte

Respostas:

17

Essas são as configurações do certificado (o certificado é uma chave pública + (esta) informações assinadas por uma autoridade de certificação).

Portanto, no seu caso, você é o país (onde mora, onde fica sua empresa), província (mesmo), cidade (mesmo), nome da organização, email, nome comum (exclusivo para essa CA), nome e unidade organizacional - nesta ordem.

As duas últimas linhas são um caminho e um alfinete para o PKCS11 (geralmente para cartões inteligentes).

Eu acho que você está usando o easy-rsa; se você não definir essas variáveis, elas serão solicitadas quando você executar a ferramenta para gerar um certificado.

mulaz
fonte
2
Obrigado - o que eu também queria saber era como crio valores para KEY_CN KEY_NAME e KEY_OU e mantenho esses valores no script build_ca e nos scripts build-key-server e build-key?
Ilion007
1
Somente o CN deve ser uniqe, portanto, considere usar nomes de usuário de usuários ou algo semelhante. A UO pode ser o que você desejar (marketing, engenharia ou até vazio).
Mulaz #
1
Parece que é melhor deixar o CN desabilitado, porque, caso contrário, você deve substituí-lo sempre: KEY_CN=foobar ./pkitool foobarao criar uma chave.
Isaaclw 03/07/2013
Informações adicionais sobre por que KEY_CN é importante: caso o KEY_CN não seja exclusivo, o OpenVPN começará a desconectar clientes com o mesmo nome comum, a menos duplicate-cnque a configuração esteja ativada (por padrão, ela está desativada).
Roland Pihlakas
Mais informações e links na Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW