Page tree

В настоящей статье описываются особенности подготовки сертификатов и ключей для службы OpenVPN. Общий порядок работы с графическим инструментом XCA см. в статье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Изменения в предустановленном шаблоне CA

В закладке «Расширения»:

  • тип сертификата «Центр сертификации»;

  • наличие отметки «Critical»;

  • наличие отметки «Subject Key Identifier».

При необходимости, уточнить срок действия сертификата.

Изменения в предустановленном шаблоне сервера

В закладке «Расширения»:

  • тип сертификата «Конечный пользователь»;

  • наличие отметки «Critical»;

  • наличие отметки «Subject Key Identifier».

При необходимости, уточнить срок действия сертификата.

В закладке «Область применения ключа» в левом списке:

  • должно быть выбрано значение «Digital Signature»;

  • должно быть выбрано значение «Key Encipherment»;

  • нужно снять отметку со значения «Non Repudiation».

В правом списке выбрать «TLS Web Server Authentication».

В закладке «Netscape» убрать отметку «Netscape SSL Server».

Изменения в предустановленном шаблоне клиента

В закладке «Расширения»:

  • тип сертификата «Конечный пользователь»;

  • наличие отметки «Critical»;

  • наличие отметки «Subject Key Identifier».

При необходимости уточнить срок действия сертификата.

В закладке «Область применения ключа» в левом списке:

  • убирать отметку «Data Encipherment»;

  • убирать отметку «Key Encipherment»;

  • выбирать «Key Agreement».

В правом списке дополнительно выбирать «TLS Web Client Authentication».

В закладке «Netscape» убрать отметку «Netscape SSL Client and S/MIME»

Дополнения к схеме экспорта сертификатов и ключей

Для работы сервера и клиентов им должны быть предоставлены правильные комплекты файлов с сертификатами и закрытыми ключами. Сводный список распределения файлов:

Для сервера:

  • корневой сертификат удостоверяющего центра;

  • сертификат сервера;

  • закрытый ключ сервера;

  • файл параметров Диффи-Хеллмана;

  • файл дополнительной аутентификации протокола TLS.

Для каждого клиента:

  • корневой сертификат удостоверяющего центра;

  • сертификат клиента;

  • закрытый ключ клиента;

  • файл дополнительной аутентификации протокола TLS.

Создание файла с параметрами Диффи-Хеллмана

Помимо сертификатов, для работы сервера OpenVPN нужен файл с параметрами Диффи-Хеллмана. Для создания этого файла:

  1. Выбрать в меню XCA пункт «Extra», и, далее «Создать DH параметр».
  2. В открывшейся форме указать значение 2048 (2048 бит).
  3. Нажать кнопку «Да».
  4. Генерация занимает довольно много времени, в течение которого программа может показаться «зависшей». Об активности программы свидетельствует индикатор в правом нижнем углу окна программы.
  5. После завершения генерации откроется форма с предложением выбрать место для сохранения полученного файла. Укажите имя файла, и нажмите кнопку «Да» для сохранения.

Создание файл

Способ создания такого файла в XCA не предусмотрен. Этот файл должен быть создан отдельно средствами OpenVPN при помощи команды

openvpn --genkey --secret <имя_файла>

а с параметрами дополнительной аутентификации TLS