Ai đó có thể vui lòng giải thích các tùy chọn vars easyrsa cho thế hệ PKI

Tôi đang sử dụng OpenVPN và trong khi tôi có thể tạo chứng chỉ bằng easyrsa thì tôi không thực sự hiểu các cài đặt trong tệp easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Bất cứ ai có thể giải thích các cài đặt này? Cảm ơn trước.

openvpn pki

— ilium007
nguồn

Đây là các cài đặt cho chứng chỉ (chứng chỉ là khóa công khai + (thông tin này) được ký bởi cơ quan Chứng nhận).

Vì vậy, trong trường hợp của bạn, đây là quốc gia của bạn (nơi bạn sống, công ty của bạn), tỉnh (cùng), thành phố (giống nhau), tên tổ chức, email, tên chung (duy nhất cho CA này), tên và đơn vị tổ chức - theo thứ tự này.

Hai dòng cuối cùng là một đường dẫn và ghim cho PKCS11 (thường là cho thẻ thông minh).

Tôi đoán bạn đang sử dụng easy-rsa; nếu bạn không đặt biến này, nó sẽ hỏi bạn về chúng, khi bạn chạy công cụ để tạo chứng chỉ.

— mulaz
nguồn

Cảm ơn - điều tôi cũng muốn biết là làm cách nào để đưa ra các giá trị cho KEY_CN KEY_NAME và KEY_OU và tôi có giữ các giá trị này giống nhau trên tập lệnh build_ca và tập lệnh xây dựng khóa máy chủ và khóa xây dựng không?

— ilium007

Chỉ có CN phải là uniqe, vì vậy hãy xem xét sử dụng tên người dùng hoặc một cái gì đó tương tự. OU có thể là bất cứ điều gì bạn muốn (tiếp thị, kỹ thuật, hoặc thậm chí trống rỗng).

— mulaz

Có vẻ như tốt hơn là không để CN không được đặt, vì nếu không, bạn phải ghi đè nó mỗi lần bằng: KEY_CN=foobar ./pkitool foobarkhi tạo khóa.

— isaaclw

Thông tin bổ sung tại sao KEY_CN lại quan trọng: trong trường hợp KEY_CN không phải là duy nhất thì OpenVPN bắt đầu ngắt kết nối các máy khách có cùng tên, trừ khi duplicate-cncài đặt được bật (theo mặc định, nó bị tắt).

— Roland Pihlakas

Thông tin khác và các liên kết, trong Wikipedia: en.wikipedia.org/wiki/Cert ve_signing_Vquest

— MikeW