¿Alguien puede explicar las opciones de easyrsa vars para la generación de PKI

24

Estoy usando OpenVPN y, aunque puedo generar certificados usando easyrsa, realmente no entiendo la configuración en el archivo easyrsa vars:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

¿Alguien puede explicar esta configuración? Gracias por adelantado.

ilium007
fuente

Respuestas:

17

Estas son las configuraciones para el certificado (el certificado es una clave pública + (esta) información firmada por una autoridad de certificación).

Entonces, en su caso, se trata de su país (donde vive, donde está su empresa), provincia (misma), ciudad (misma), nombre de la organización, correo electrónico, nombre común (único para esta CA), nombre y unidad organizativa: en este orden.

Las dos últimas líneas son una ruta y un pin para PKCS11 (generalmente para tarjetas inteligentes).

Supongo que estás usando easy-rsa; si no configura estas variables, se las solicitará cuando ejecute la herramienta para generar un certificado.

mulaz
fuente
2
Gracias, lo que también quería saber era ¿cómo se me ocurren los valores para KEY_CN KEY_NAME y KEY_OU?
ilium007
1
Solo CN tiene que ser único, así que considere usar nombres de usuario de usuarios o algo similar. OU puede ser lo que desee (marketing, ingeniería o incluso vacío).
mulaz
1
Parece que es mejor dejar el CN ​​sin configurar, porque de lo contrario, debe anularlo cada vez con: KEY_CN=foobar ./pkitool foobaral crear una clave.
isaaclw
Información adicional por qué KEY_CN es importante: en caso de que KEY_CN no sea único, OpenVPN comienza a desconectar clientes con el mismo nombre común, a menos que la duplicate-cnconfiguración esté habilitada (por defecto está deshabilitada).
Roland Pihlakas
Más información y enlaces en Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW