Как создать сертификаты SSL в расчете на пользователя с помощью моего собственного CA?
"Практика Систем и Администрирования сети" является фантастической книгой.
Как Проект Документации Linux.
В конечном счете будут более определенные рекомендации в зависимости от технологии. Книги, Интернет и руки на опыт имеют большое значение.
О, и я скажу, что невероятно впечатлен этим сайтом. Я не видел такой высокий средний уровень интеллекта в обобщенном профессиональном сообществе в долгое время.
Если я правильно понял вопрос, вы хотите, чтобы материал easy-rsa был включен в большинство дистрибутивов openssl. Вам в основном нужно создать часть CA (похоже, вы это уже сделали, но вы можете повторить ее в соответствии с этими документами), затем создать сертификаты клиентов и подписать их сертификатом CA (включенные скрипты позаботятся обо всем этом). Вы можете получить дополнительную информацию здесь:
http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
Или найдите каталог easy-rsa для ваша установка openssl должна выглядеть так:
# cd /usr/share/doc/openvpn-2.0.9/easy-rsa/;ls
2.0 build-dh build-key build-key-pkcs12 build-req clean-all make-crl README revoke-full vars
build-ca build-inter build-key-pass build-key-server build-req-pass list-crl openssl.cnf revoke-crt sign-req Windows
Выполните инструкции в README, затем используйте ./build-key для создания ваших клиентских сертификатов. Как вы упомянули, вам нужно будет установить ca.crt на своих клиентах. Я считаю, что Chrome будет использовать систему openssl, если хотите, Я думаю, что firefox должен установить сертификат в собственное хранилище ключей (по моему опыту).
Я использую этот псевдоним сейчас для создания клиентских ключей, чтобы они подписывались центром сертификации, прежде чем я отправлю сертификат пользователю:
build_key is a function
build_key ()
{
cd /usr/share/doc/openvpn-2.0.9/easy-rsa/;
echo "key name?";
read answer;
./build-key $answer
}