В настоящей статье описываются особенности подготовки сертификатов и ключей для службы OpenVPN. Общий порядок работы с графическим инструментом XCA см. в статье XCA: графический инструмент для работы с сертификатами и ключевыми носителями.
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Изменения в предустановленном шаблоне CA
В закладке «Расширения»:
тип сертификата «Центр сертификации»;
наличие отметки «Critical»;
наличие отметки «Subject Key Identifier».
При необходимости, уточнить срок действия сертификата.
Изменения в предустановленном шаблоне сервера
В закладке «Расширения»:
тип сертификата «Конечный пользователь»;
наличие отметки «Critical»;
наличие отметки «Subject Key Identifier».
При необходимости, уточнить срок действия сертификата.
В закладке «Область применения ключа» в левом списке:
должно быть выбрано значение «Digital Signature»;
должно быть выбрано значение «Key Encipherment»;
нужно снять отметку со значения «Non Repudiation».
В правом списке выбрать «TLS Web Server Authentication».
В закладке «Netscape» убрать отметку «Netscape SSL Server».
Изменения в предустановленном шаблоне клиента
В закладке «Расширения»:
тип сертификата «Конечный пользователь»;
наличие отметки «Critical»;
наличие отметки «Subject Key Identifier».
При необходимости уточнить срок действия сертификата.
В закладке «Область применения ключа» в левом списке:
убирать отметку «Data Encipherment»;
убирать отметку «Key Encipherment»;
выбирать «Key Agreement».
В правом списке дополнительно выбирать «TLS Web Client Authentication».
В закладке «Netscape» убрать отметку «Netscape SSL Client and S/MIME»
Дополнения к схеме экспорта сертификатов и ключей
Для работы сервера и клиентов им должны быть предоставлены правильные комплекты файлов с сертификатами и закрытыми ключами. Сводный список распределения файлов:
Для сервера:
корневой сертификат удостоверяющего центра;
сертификат сервера;
закрытый ключ сервера;
файл параметров Диффи-Хеллмана;
файл дополнительной аутентификации протокола TLS.
Для каждого клиента:
корневой сертификат удостоверяющего центра;
сертификат клиента;
закрытый ключ клиента;
файл дополнительной аутентификации протокола TLS.
Создание файла с параметрами Диффи-Хеллмана
Помимо сертификатов, для работы сервера OpenVPN нужен файл с параметрами Диффи-Хеллмана. Для создания этого файла:
- Выбрать в меню XCA пункт
«Extra»
, и, далее«Создать DH параметр»
. - В открывшейся форме указать значение
2048 (2048 бит)
. - Нажать кнопку
«Да»
. - Генерация занимает довольно много времени, в течение которого программа может показаться «зависшей». Об активности программы свидетельствует индикатор в правом нижнем углу окна программы.
- После завершения генерации откроется форма с предложением выбрать место для сохранения полученного файла. Укажите имя файла, и нажмите кнопку «Да» для сохранения.
Создание файл
Способ создания такого файла в XCA не предусмотрен. Этот файл должен быть создан отдельно средствами OpenVPN при помощи команды