Bisakah seseorang tolong jelaskan opsi easyrsa vars untuk generasi PKI

24

Saya menggunakan OpenVPN dan sementara saya dapat menghasilkan sertifikat menggunakan easyrsa, saya tidak mengerti pengaturan dalam file easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Adakah yang bisa menjelaskan pengaturan ini? Terima kasih sebelumnya.

ilium007
sumber

Jawaban:

17

Ini adalah pengaturan untuk sertifikat (sertifikat adalah kunci publik + (info) info yang ditandatangani oleh otoritas Sertifikat).

Jadi dalam kasus Anda, ini adalah negara Anda (tempat Anda tinggal, di mana perusahaan Anda berada), provinsi (sama), kota (sama), nama organisasi, email, nama umum (unik untuk CA ini), nama, dan unit organisasi - dalam urutan ini.

Dua baris terakhir adalah jalur dan pin untuk PKCS11 (biasanya untuk kartu cerdas).

Saya kira Anda menggunakan rsa mudah; jika Anda tidak mengatur variabel ini, itu meminta Anda untuk mereka, ketika Anda menjalankan alat untuk menghasilkan sertifikat.

mulaz
sumber
2
Terima kasih - yang juga ingin saya ketahui adalah bagaimana cara menghasilkan nilai untuk KEY_CN KEY_NAME dan KEY_OU dan apakah saya menyimpannya di skrip build_ca dan build-key-server dan build-key script?
ilium007
1
Hanya CN yang harus unik, jadi pertimbangkan untuk menggunakan nama pengguna atau sesuatu yang serupa. OU dapat berupa apa saja yang Anda inginkan (pemasaran, teknik, atau bahkan kosong).
mulaz
1
Tampaknya lebih baik membiarkan CN tidak disetel, karena jika tidak, Anda harus menimpanya setiap kali: KEY_CN=foobar ./pkitool foobarsaat membuat kunci.
isaaclw
Info tambahan mengapa KEY_CN penting: jika KEY_CN tidak unik maka OpenVPN mulai memutuskan klien dengan nama yang sama, kecuali duplicate-cnpengaturan diaktifkan (secara default dinonaktifkan).
Roland Pihlakas
Info lebih lanjut, dan tautan, di Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW