有人可以解释PKI生成的easyrsa vars选项

24

我正在使用OpenVPN,虽然我可以使用easyrsa生成证书,但是我真的不太了解easyrsa vars文件中的设置:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

谁能解释这些设置?提前致谢。

openvpn  pki 
ilium007
source

Answers:

17

这些是证书的设置(证书是公共密钥+由证书颁发机构签名的(此)信息)。

因此,在您的情况下,这些是您的国家(居住地,公司所在的地方),省(相同),城市(相同),组织名称,电子邮件,通用名称(此CA唯一),名称和组织单位-按此顺序。

最后两行是PKCS11的路径和引脚(通常用于智能卡)。

我猜您正在使用easy-rsa;如果您未设置此变量,则在运行工具生成证书时会询问您这些变量。

穆拉兹
source
2
谢谢-我还想知道的是如何得出KEY_CN KEY_NAME和KEY_OU的值,并且在build_ca脚本,build-key-server和build-key脚本中如何保持相同?
ilium007
1
只有CN必须是唯一的,因此请考虑使用用户名或类似的名称。OU可以是您想要的任何东西(营销,工程甚至是空的)。
mulaz
1
似乎最好将CN保持未设置状态,因为KEY_CN=foobar ./pkitool foobar在创建密钥时,您每次都必须使用以下命令覆盖它:
isaaclw
KEY_CN重要的其他信息:如果KEY_CN不是唯一的,则OpenVPN将开始断开具有相同公用名的客户端的连接,除非duplicate-cn启用了设置(默认情况下它被禁用)。
罗兰·皮拉卡斯
有关更多信息和链接,请参见Wikipedia:en.wikipedia.org/wiki/Certificate_signing_request
MikeW
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.