- 1.
-
Создать папку /usr/local/etc/sertificat,
перейти в эту папку.
- 2.
-
Правим конфиг OpenSSL /etc/ssl/openssl.cnf:
dir = /usr/lacal/etc/sertificat
certificate = $dir/cifr_ca.pem
private_key = $dir/private/cifr_cakey.pem
default_days = 3650
countryName_default = RU
stateOrProvinceName_default = Moscow
localityName_default = Moscow
0.organizationName_default = CIFR
commonName_default = Aleksandr Jashhuk
- 3.
-
Создать сертификат CA:
openssl req -nodes -x509 -newkey rsa -out cifr_ca.pem -outform PEM
На все вопросы отвечаем кнопкой Enter.
Получим два файла: cifr_ca.pem и privkey.pem.
Переименовать файл
privkey.pem в cifr_cakey.pem.
- 4.
-
Создать папки:
/usr/local/etc/sertificat/crl
/usr/local/etc/sertificat/newcert
/usr/local/etc/sertificat/private
Положить файл cifr_cakey.pem в папку
/usr/local/etc/sertificat/private.
- 5.
-
Создать пустой файл /usr/local/etc/sertificat/index.txt.
- 6.
-
Создать файл /usr/local/etc/sertificat/serial,
содержащий 01.
- 7.
-
Сгенерить ключ и сертификат (например, для машины MH:
openssl genrsa -out mh.key
openssl req -new -nodes -key mh.key -out mh.csr
openssl ca -batch -in mh.csr -out mh.cert
Для других машин повторить пункт 7, с указание
соответстыующих имен файлов.
- 8.
-
Сгенерить статический
2048-битный ключ для предотвращения DDoS-атак:
openvpn --genkey --secret ta.key
Создастся ключ ta.key, внутри него будет строка
2048 bit OpenVPN static key.
В конфиге машины-сервера указывать строку: tls-auth ta.key 0,
а у машины-клиента: tls-auth ta.key 1 .
- 9.
-
Сгенерить ключ Диффи Хельмана для шифрации трафика при установлении соединения:
openssl dhparam -out dh1024.pem 1024
Создастся ключ dh1024.pem, внутри него будет
строка BEGIN DH PARAMETERS.