RUDE

Как создать сертификат и ключ для проверки подлинности VPN

У нас есть сеть VPN-маршрутизаторов, которую настроил другой инженер, мне нужно добавить новый. Кажется, что у каждого маршрутизатора есть два файла: файл .key и файл .crt.

У меня осталась куча сертификатов и ключей других роутеров и CA.crt.

Как сгенерировать .key и .crt для аутентификации моего маршрутизатора и подключения к этой сети.

Один из маршрутизаторов является сервером и имеет ключ и crt, называемые rvss.key и rvss.crt, а также этот ca.crt.


19
1

Ответ:

Решено

Чтобы добавить новый маршрутизатор/клиент/сервер в существующую сеть, вы должны сначала выяснить, где находится ваш Центр сертификации. В вашем случае это звучит так, как будто у каждого маршрутизатора есть собственный ЦС, который содержит только файл .key и файл .crt. Для каждого сервера/клиента openvpn, который вы добавляете, вам нужно будет сгенерировать

  1. клиент/сервер .key (закрытый, секретный) на клиенте или сервере
  2. знак .req (запрос)

Теперь вы копируете запрос в ЦС и «подписываете» его. Это создаст клиентский или серверный файл .crt (сертификат). Скопируйте сгенерированный файл .crt вместе с файлом CA .crt обратно на клиент/сервер. Для работы клиенту/серверу потребуется как минимум четыре вещи:

  1. это клиент/серверный ключ
  2. это подписано .crt сверху
  3. ЦС .crt
  4. правильная конфигурация (ip/port и многое другое)

Для «простых» пошаговых инструкций я бы рекомендовал этот Архвики-страница Easy-RSA, а затем этот Архвики-страница Openvpn. Также обратите внимание, что существуют варианты настройки Расширенная PKI, содержащего несколько суб-ЦС, которыми могут стать ваши «маршрутизаторы vpn», в зависимости от варианта использования. В любом случае, в этом случае каждому маршрутизатору также потребуется «корневой» сертификат CA, что, похоже, не так в данный момент.