누군가 PKI 생성을위한 easyrsa vars 옵션을 설명해 주시겠습니까?


24

OpenVPN을 사용하고 있으며 easyrsa를 사용하여 인증서를 생성 할 수 있지만 easyrsa vars 파일의 설정을 실제로 이해하지 못합니다.

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

누구든지이 설정을 설명 할 수 있습니까? 미리 감사드립니다.

답변:


17

인증서의 설정입니다 (인증서는 인증 기관이 서명 한 공개 키 + (이) 정보).

따라서 귀하의 경우, 귀하는 귀하의 국가 (귀하가 거주하는 곳, 회사가있는 곳), 주 (같은), 도시 (같은), 조직 이름, 이메일, 공통 이름 (이 CA의 고유), 이름 및 조직 단위입니다. 이 순서대로.

마지막 두 줄은 PKCS11의 경로와 핀입니다 (일반적으로 스마트 카드의 경우).

easy-rsa를 사용하고 있다고 생각합니다. 이 변수를 설정하지 않으면 도구를 실행하여 인증서를 생성 할 때 변수를 묻습니다.


2
고맙습니다-또한 KEY_CN KEY_NAME 및 KEY_OU에 대한 값을 어떻게 얻었으며 build_ca 스크립트와 build-key-server 및 build-key 스크립트에서 동일한 값을 유지합니까?
ilium007

1
CN만이 유일해야하므로 사용자 사용자 이름이나 비슷한 것을 사용하는 것이 좋습니다. OU는 원하는 것 (마케팅, 엔지니어링 또는 비어 있음) 일 수 있습니다.
mulaz December

1
그렇지 않으면 KEY_CN=foobar ./pkitool foobar키를 만들 때 마다 다음과 같이 CN을 무시해야하므로 CN을 설정하지 않은 상태로 두는 것이 좋습니다 .
isaaclw

KEY_CN이 중요한 이유에 대한 추가 정보 : KEY_CN이 고유하지 않은 경우 duplicate-cn설정이 활성화되어 있지 않으면 (기본적으로 비활성화되어 있음) OpenVPN은 동일한 공통 이름으로 클라이언트 연결을 끊기 시작합니다 .
롤랜드 Pihlakas

Wikipedia의 추가 정보 및 링크 : en.wikipedia.org/wiki/Certificate_signing_request
MikeW
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.