#author("2022-06-09T22:44:47+00:00","default:wikiadmin","wikiadmin")
-認証局(オレオレCA)の作成と証明書の発行を楽にできるOpenVPNのサブツール
*使い方 [#fc3881a9]
*用語 [#eddf38c1]
PKIの一般用語も含む
|CA|認証局|
|証明書認証|認証局立ててサーバー証明書とクライアント証明書を発行して認証。証明書の管理(紛失時は失効&再発行)や更新が面倒|
|ID&PW認証|LDAPなどの外部システムと連携して認証を行う|
*初期化と認証局立てる [#e6ecc8f7]
./easyrsa init-pki
./easyrsa build-ca
認証局にドメイン名をいれるけど、発行するのは別ドメインなのでここのドメイン名は適当で良い。
(本来のCAの役割であればその組織のドメインを入れるべきだが)
./easyrsa build-server-full server1 nopass
./easyrsa build-client-full user1 nopass
*作成ファイル [#hc9de3a4]
-pki以下
ca.crt
private/ca.key
*Apacheで自己証明書を使う。 [#y5c256ef]
-Nginxだとそのまま使えたけど、Apacheだとエラーになる状況で調査中
-秘密鍵とCSRの作成
./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutake.com' gen-req rutake.com nopass
-証明書の発行
*nginx向け証明書作成 [#l4eab125]
-crtに鍵以外の情報が入っているけど、そのまま使える。Apacheだと現在エラーとなる
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' gen-req example.com nopass
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' sign-req server example.com
*CentOS7にインストール [#j76c6000]
https://www.server-world.info/query?os=CentOS_7&p=openvpn
**ポート開放 [#nca4d367]
<rule family="ipv4">
<source address="許可したいIP/32"/>
<port protocol="udp" port="1194"/>
<accept/>
</rule>
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
