如何配置OpenVPN服务器读取客户端证书的位置？

Question

我们在几个自动标度的实例上运行OpenVPN服务器(用于冗余和自愈)，因此它是以脚本方式提供的。我们通过这些短暂实例管理客户端证书的方法相当笨拙，目前需要将tarball提取到/etc/openvpn/easy-rsa/pki目录中。

我只想将客户端证书移到一个共享的网络目录中，但是我还无法弄清楚这些pki子目录的配置设置会告诉openvpn什么。( ca/cert/key/dh设置都指向层次结构，即/etc/openvpn/easy-rsa/pki/issued/server.crt，对我来说，这意味着不会有任何关于easy目录结构的内置假设。)

openvpn是如何找到这些文件的？

Answer 1

谢谢你的提问..。

你想的容易一点;-)。你不需要所有的客户证书。客户需要客户证书.

在配置文件旁边有3-4生成和“链接”文件，这些文件可以直接作为配置文件中的部分嵌入(这是服务器/客户端需要拥有的全部文件)。

• TLS键(可选但使用不坏;-)

这是共享密钥，即使在启动特定于客户端的通信之前就可以保护通信--如果不知道这个密钥，服务器就会忽略您的通信。此文件在服务器和客户端上是相同的。

• CA认证机构什么是用来确认远程信任的证书。
  • 服务器:颁发客户证书的权威机构的证书。这是您正在寻找的-因为这个文件可以用来检查所有发布的客户端证书在连接期间。此单个文件可用于检查由同一个CA颁发的当前证书和未来证书(这是轻松-rsa所涵盖的)。
  • client:此文件用于检查服务器证书是否可信。它可以在服务器端相同，但从技术上讲，服务器证书可以由不同的CA颁发，而不是客户的证书。

• 钥匙

用于保护通信安全的私钥。这个文件应该是安全的，因为它是确认您的身份的文件。

• 证书

证书(使用X.509结构中与证书颁发机构有关的附加信息“包装”公钥)。这个文件甚至可以公开使用，因为它只用于检查通信的有效性(签名使用的密钥实际上是“那个”可信的密钥)。

正如您已经提到的，easy，对于客户机和服务器端来说，CA可能是相同的。一旦您有了通用TLS密钥、公共CA文件和拥有相应证书的密钥，您就可以让它正常工作了。

一旦您为用户生成密钥和证书并将其传递给用户(或至少将其发送出去)，您就不再需要它了，这个用户key+cert甚至可以从服务器中删除.

在“大”证书颁发机构中，用户密钥甚至不为颁发服务器所知，因为证书请求包含公钥(来自私钥的派生信息)，所有这些都是创建签名证书所必需的--密钥是在客户端生成的，并且不会在进程中留下.