所有服务器都是 debian 9 linux。我有 200 台安装了 openvpn 的服务器,每台服务器有三到四个客户端(隧道 2)
客户端 ---> 服务器 1(200 个中的 1 个)(也是跳转服务器的客户端)---> 跳转服务器 ---> 主办公室服务器(跳转服务器隧道 1 的客户端)。所以有两个隧道。这篇文章是关于隧道 2 的
server1:中的文件/etc/openvpn/keys。它们对于所有 server1..n 都是相同的。它们是从 USB 磁盘复制的。
ca.crt
dh2048.pem
server.crt
server.key
ta.key
所有客户端都具有相同的ca.crt和ta.key(与服务器的ca.crt和ta.key文件相匹配)。所有客户端都具有不同的client.crt和client.key文件,正如预期的那样。它们是批量生成的,并复制到类似的服务器上。
我想为另外 20 个客户端生成client.crt和client.key。问题是我不知道easy-rsa包含script、var文件和pki文件夹的原始文件夹在哪里。它不在服务器中。我所拥有的只是最终产品被复制到现有客户端。
我如何为新客户端生成证书和密钥?如果我再次使用 easy-rsa,那么公共ca.crt将发生变化。如果我不得不用新的替换服务器ca.crt,它将不再与现有客户端匹配。
编辑:我有原始文件ca.crt和ca.key文件。我需要帮助使用 easy-rsa 生成新的客户端证书和密钥。
答案1
安装易用性就像你通常做的那样。例如:
cd ~
git clone https://github.com/OpenVPN/easy-rsa.git
cd ~/easy-rsa/easyrsa3
./easyrsa init-pki
初始化它。例如:
./easyrsa \
--batch \
--dn-mode=org \
--req-c=US \
--req-st=Massachusetts \
--req-city="Boston" \
--req-org="The Great Certificate Company" \
[email protected] \
--req-ou="The Great Certificate Unit" \
--req-cn=www.certco.com \
build-ca nopass
现在替换生成的〜/ easy-rsa / easyrsa3 / pki / ca.crt和〜/ easy-rsa / easyrsa3 / pki / private / ca.key用你自己的证书和证书密钥仔细检查以确保没有用新密钥对替换旧密钥对。
现在像平常一样生成客户端证书。它们将由您的旧证书签名证书和证书密钥一切就绪。