Quelqu'un peut-il expliquer les options d'Earsyrsa Vars pour la génération de PKI

24

J'utilise OpenVPN et bien que je puisse générer des certificats en utilisant easyrsa très bien, je ne comprends pas vraiment les paramètres du fichier vars easyrsa:

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG
export KEY_EMAIL=""
export KEY_EMAIL=
export KEY_CN=
export KEY_NAME=
export KEY_OU=
export PKCS11_MODULE_PATH=
export PKCS11_PIN=1234

Quelqu'un peut-il expliquer ces paramètres? Merci d'avance.

ilium007
la source

Réponses:

17

Ce sont les paramètres du certificat (le certificat est une clé publique + (cette) info signée par une autorité de certification).

Donc, dans votre cas, ce sont votre pays (où vous vivez, où votre entreprise est), la province (la même), la ville (la même), le nom de l'organisation, l'e-mail, le nom commun (unique pour cette autorité de certification), le nom et l'unité organisationnelle - dans cet ordre.

Les deux dernières lignes sont un chemin et une broche pour PKCS11 (généralement pour les cartes à puce).

Je suppose que vous utilisez easy-rsa; si vous ne définissez pas ces variables, il vous les demande lorsque vous exécutez l'outil pour générer un certificat.

mulaz
la source
2
Merci - ce que je voulais aussi savoir, c'est comment trouver des valeurs pour KEY_CN KEY_NAME et KEY_OU et dois-je les garder identiques dans le script build_ca et les scripts build-key-server et build-key?
ilium007
1
Seul le CN doit être uniqe, alors pensez à utiliser les noms d'utilisateur des utilisateurs ou quelque chose de similaire. OU peut être tout ce que vous souhaitez (marketing, ingénierie ou même vide).
mulaz
1
Il semble préférable de laisser le CN non défini, car sinon, vous devez le remplacer à chaque fois avec: KEY_CN=foobar ./pkitool foobarlors de la création d'une clé.
isaaclw
Informations supplémentaires sur l'importance de KEY_CN: dans le cas où KEY_CN n'est pas unique, OpenVPN commence à déconnecter les clients portant le même nom commun, sauf si le duplicate-cnparamètre est activé (par défaut, il est désactivé).
Roland Pihlakas
Plus d'informations et de liens sur Wikipedia: en.wikipedia.org/wiki/Certificate_signing_request
MikeW