OPENVPN, EasyRSA notes
OPENVPN inštalácia a administrácia
GITHUB repozitár použitého balíka: https://github.com/angristan/openvpn-install
- Inštalačné poznámky - nainštalujeme balík OpenVPN server a admin skript si uložíme niekam, kde ho nájdeme. Budeme sa k nemu časom vracať.
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
- Po inštalácii pridávame používateľov opätovným spustením skriptu:
./openvpn-install.sh
- Vytvorené serverové alebo klientské certifikáty sa ukladajú sem:
/etc/openvpn/easy-rsa/pki/issued/- Tu vidno, aké hostname chceme riešiť
Pokročilé operácie s EasyRSA
- Zobraziť zoznam všetkých certifikátov:
./easyrsa list-certs- Zobraziť detaily certifikátu:
./easyrsa show-cert client1- Zmeniť platnosť nových certifikátov (pred vytvorením):
./easyrsa set-var EASYRSA_CERT_EXPIRE 3650 # 10 rokov
./easyrsa set-var EASYRSA_CRL_DAYS 3650- Vytvoriť nový CRL (Certificate Revocation List):
./easyrsa gen-crl- Odvolať certifikát:
./easyrsa revoke client1
./easyrsa gen-crl # aktualizovať CRLPo 2 rokoch končia vystavené certifikáty. Jednou z možností je vymazať a znova pridať používateľa a vystaviť mu nový konfiguračný súbor, alebo ručne obnoviť certifikát. Niekoľko poznámok ako pracovať so starým certifikátom:
- Serverový certifikát: Vytvorenie úplne nového.
cd /etc/openvpn/easy-rsa/
./easyrsa build-server-full cn_8mn4nu7vYaXLTPIf nopass
- Ideálne ale chceme obnoviť po uplynutí platnosti:
./easyrsa renew rocky-mail-docker-server nopass
Ďalšie užitočné príkazy
- Overiť platnosť certifikátu:
openssl x509 -in /etc/openvpn/easy-rsa/pki/issued/client1.crt -noout -enddate- Exportovať certifikát do .p12 formátu (pre niektoré klienty):
openssl pkcs12 -export -in client1.crt -inkey client1.key -out client1.p12Komentáre ku článku
Zatiaľ žiadne komentáre.