...
Для более безопасного и эффективного управления файлами ключей и сертификатов, необходимыми для работы сервиса openvpn,
рекомендуется использовать графический инструмент управления сертификатами XCA.
Инструмент XCA входит в стандартный дистрибутив Astra Linux.
Установку инструмента можно выполнить либо из графического менеджера пакетов Synaptic, либо из командной строки командой
...
При запуске инструмент автоматически определяет, на каком языке работать, в соответствии с языком операционной системы.
В настоящем документе при дальнейшем описании предполагается, что используется русский язык.
Выбор языка можно изменить вручную через меню («Файлы» - «Language»)
...
Перед созданием базы данных будет запрошен ввод пароля к базе данных. Из соображений безопасности данных рекомендуется указать пароль,
но можно просто нажать «Да», при этом база будет создана без пароля.
...
Перед созданием сертификатов для упрощения дальнейшей работы рекомендуется заполнить и сохранить типовые повторяющиеся значения полей,
которые будут применяться в дальнейшем при создании сертификатов. Для этой цели в XCA предусмотрен механизм шаблонов. Особенно использование
шаблонов рекомендуется для упрощения повторяющихся операций выпуска клиентских сертификатов.
...
При заполнении информационных полей шаблона не рекомендуется использовать кириллицу.
Все поля являются необязательными, однако, в шаблоне, как минимум, обязательно должно быть заполнено либо поле «Внутреннее имя», либо поле «commonName».
...
После создания сертификата сервера он отобразится в общем списке сертификатов, и вы увидите, что XCA представляет список сертификатов в виде дерева,
корнем которого является корневой сертификат удостоверяющего центра.
...
Закрытый корневой ключ удостоверяющего центра не должен передаваться в другие системы, однако,
его копии следует хранить в системах резервного копирования и восстановления.
...
файл с параметрами Диффи-Хеллмана, способ создания такого файла с помощью XCA описан ниже.
файл дополнительной аутентификации протокола TLS. Способ создания такого файла в XCA не предусмотрен.
Этот файл должен быть создан отдельно средствами OpenVPN при помощи команды
openvpn --genkey --secret<имя_файла>
...
Для экспорта сертификата сервера перейдите в закладку
«Сертификаты»,
выберите закладку «Сертификаты», выберите в списке нужный сертификат, и нажмите кнопкукнопку
«Экспорт».
В открывшейся форме укажите место сохранения экспортируемого сертификата, выберите формат экспорта «PEM (*.crt)», и нажмите кнопку «Да».
Для экспорта закрытого ключа сервера перейдите в закладку
закладку «Закрытые ключи»,
выберите выберите в списке нужный ключ, нажмите кнопку
«Экспорт»,
выберите выберите формат экспорта «PEM private (*.crt)», и нажмите кнопку «Да».
Обратите внимание, что закрытый ключ сервера экспортируется в открытом виде, без применения защитного преобразования данных.
...
Для создания этого файла выберите в меню пункт
пункт «Extra»,
и и, далее«Создать DH параметр».
В открывшейся форме укажите значение
значение 2048 (2048 бит),
и и нажмите кнопку
кнопку «Да».
Генерация занимает довольно много времени, в течение которого программа может показаться «зависшей». Об активности программы свидетельствует индикатор в правом нижнем углу окна программы.
...
Для создания списка отозванных сертификатов в формате, пригодном для экспорта в другие системы, выберите нужный корневой сертификат,
в контекстном меню по правой кнопке мыши выберите
выберите «ЦС» - «Создать CRL»,
в открывшейся форме, при необходимости, уточните параметры, и нажмите «Да».
...