OpenVPN - Ca.CRT澄清- MIgrating OpenVPN问题

Question

因此，我迁移了OpenVPN服务器，这看起来很简单，我只是将/etc/openvpn/*复制到新服务器上。

但是，当我生成键时，当客户端连接时，我会得到一个错误。当我使用我的旧ca.crt时，我能够成功地连接。

我有几个相关的简单问题。

1. ca.crt是所有客户端获得的相同文件，还是每个用户生成的文件？(我的印象是，每个客户的档案是相同的，但我不是100%)
2. 我通常生成3个文件client.csr client.crt client.key

在.ovpn配置文件中，它要求

ca.crt
client.crt
client.key

3.在每个用户基础上生成的客户端获取哪些文件，以及这3个文件中的哪个文件通常是？

对于我需要哪些文件，我有点困惑，我很久以前就这样做了，但现在我被要求在更大的范围内这样做，并且需要更彻底的理解，然后，“它能工作”。

我认为我过去所做的是将client.csr重命名为client.ca，但我可能错了。

在/etc/openvpn/的根目录中有一个ca.crt，但是它不能工作！但是，看起来我有另一个完整的证书树，它被遗弃在/etc/openvpn/techsupport/下，但它自2011年以来就没有使用过了！这里也有一个ca.crt，我需要尝试一下。

Answer 1

我不是百分之百这是正确的，所以请告诉我，如果不是，我不想传播错误的信息，但我找到了我的假设/答案的一个体面的来源。

我在技术上创建了4个文件

./构建密钥传递

Id.pem = where Id is the index number
client.crt = Clients Cert
cleint.key = client Key
client.csr = Client Signing Request

客户端获得以下信息：

clients:
   ca.crt           CA's public certificate
   ClientXXXX.crt   The client certificate
   ClientXXXX.key   The client key

一旦创建/签名了CSR，就可以删除它(基于我读取的这里)。

ID.pem用于稍后的撤销，这是一种基于文件的数据库系统。您需要的两个文件是client.crt和client.key，然后是"public CA.crt“，这意味着它有两个特性。

它不是秘密的，它是与所有开放VPN密钥对一起部署的.

因此，我的问题是，我一直在使用/etc/openvpn/*目录中的一个不正确的ca.crt，我应该将它与表面上的/techsupport一起存档，然后在服务器上重新创建ca.crt，这样就不会再发生这种混淆了。

After comparing my ca.crt with a co-workers, this seems the logical choice.

最后注：

• 文件ca.crt在/etc/openvpn/中是否用于任何东西，还是仅仅是一个用于存储的逻辑位置？

更新关于我最后的笔记，我注意到在/certs/key/里面有一个ca.crt，这是我在本地拥有的一个。同样，我的问题是，/etc/openvpn/中的ca.crt是否会被删除/替换为/key/我的想法是从旧的安装/配置中删除/替换？