Kann mir jemand bitte die Optionen von easyrsa vars für die PKI-Generierung erklären?

24

Ich verwende OpenVPN und obwohl ich mit easyrsa ganz gut Zertifikate generieren kann, verstehe ich die Einstellungen in der easyrsa vars-Datei nicht wirklich:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Kann mir jemand diese Einstellungen erklären? Danke im Voraus.

ilium007
quelle

Antworten:

17

Dies sind die Einstellungen für das Zertifikat (Zertifikat ist ein öffentlicher Schlüssel + (dies) von einer Zertifizierungsstelle signierte Informationen).

In Ihrem Fall sind dies also Ihr Land (wo Sie wohnen, wo sich Ihr Unternehmen befindet), Ihre Provinz (dasselbe), Ihre Stadt (dasselbe), der Name der Organisation, Ihre E-Mail-Adresse, Ihr gebräuchlicher Name (für diese Zertifizierungsstelle eindeutig), Ihr Name und Ihre Organisationseinheit. in dieser Reihenfolge.

Die letzten beiden Zeilen sind ein Pfad und ein Pin für PKCS11 (normalerweise für Smartcards).

Ich nehme an, Sie verwenden easy-rsa. Wenn Sie diese Variablen nicht festlegen, werden Sie beim Ausführen des Tools zum Generieren eines Zertifikats dazu aufgefordert.

Mulaz
quelle
2
Danke - was ich auch wissen wollte, war, wie ich Werte für KEY_CN KEY_NAME und KEY_OU finde und behalte ich diese für das build_ca-Skript und den Build-Key-Server und die Build-Key-Skripte gleich?
ilium007
1
Da nur CN eindeutig sein muss, sollten Sie Benutzernamen oder ähnliches verwenden. OU kann alles sein, was Sie wollen (Marketing, Engineering oder sogar leer).
Mulaz
1
Es scheint, dass es besser ist, den CN nicht zu setzen, da Sie ihn sonst jedes Mal überschreiben müssen, KEY_CN=foobar ./pkitool foobarwenn Sie einen Schlüssel erstellen.
Isaac
Zusätzliche Informationen, warum KEY_CN wichtig ist: Wenn KEY_CN nicht eindeutig ist, trennt OpenVPN Clients mit demselben allgemeinen Namen, sofern die duplicate-cnEinstellung nicht aktiviert ist (standardmäßig ist sie deaktiviert).
Roland Pihlakas
Weitere Informationen und Links in Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW