Easy RSA 3 jest ciutkę inne od jego poprzednich wersji, powinieneś to przejść bez większych problemów.
Zaczynamy od pobrania ostatniej wersji https://github.com/OpenVPN/easy-rsa/releases
cd /etc/openvpn
tar zxvf EASY_RSA.tar.gz
cd Easy_RSASkrypt tworzący CA
Pierwszy skrypt 01_init tworzy CA
#!/bin/bash
if [ $# -ne 1 ]; then
echo Podaj jako parametr nazwę certyfikatu dla serwera np. nazwę DNS lub adres IP.
exit
fi
echo Inicjuje PKI
./easyrsa init-pki
echo Generuje CA
./easyrsa build-ca
echo Generuje request dla serwera $1
./easyrsa gen-req $1 nopass
echo Kopiuję plik ./vars
if [ ! -e ./vars ]; then
cp ./vars.example ./vars
fi
echo Ustawiam parametry w ./vars
# Ustawia parametry
# set_var EASYRSA_KEY_SIZE 4096
# set_var EASYRSA_CRL_DAYS 3650
# set_var EASYRSA_DIGEST "sha512"
sed -e "/^#\(set_var EASYRSA_KEY_SIZE\)\t2048/s//\1\t4096/" < ./vars > ./vars_0
sed -e "/^#\(set_var EASYRSA_CRL_DAYS\)\t180/s//\1\t3650/" < ./vars_0 > ./vars_1
sed -e "/^#\(set_var EASYRSA_DIGEST\)\t\t\"sha256\"/s//\1\t\t\"sha512\"/" < ./vars_1 > ./vars_2
mv ./vars_2 ./vars
rm ./vars_*Generujemy certyfikat dla serwera
Drugi skrypt 02_gen-server
#!/bin/bash
if [ $# -ne 1 ]; then
echo Podaj jako parametr nazwę certyfikatu dla serwera np. nazwę DNS lub adres IP.
exit
fi
./easyrsa sign-req server $1 nopassGenerowanie CRL
Skrypt 04_gen-crl
#!/bin/bash
./easyrsa gen-crlGenerowanie DH
Skrypt 05_gen_dh
#!/bin/bash
./easyrsa gen-dh
# openssl dhparam -out pki/dh.pem 4096Generowanie TA
Skrypt 06_gen-ta
#!/bin/bash
openvpn --genkey --secret pki/ta.keyKopiowanie plików
Skrypt 07_copy-files
#!/bin/bash
if [ ! -d /etc/openvpn/ssl ]; then
mkdir /etc/openvpn/ssl
fi
cp pki/ca.crt /etc/openvpn/ssl/
cp pki/issued/domena.org.crt /etc/openvpn/ssl/
cp pki/private/domena.org.key /etc/openvpn/ssl/
cp pki/crl.pem /etc/openvpn/ssl/
cp pki/ta.key /etc/openvpn/ssl/
cp pki/dh.pem /etc/openvpn/ssl/| Date: 2020-10-24T19:25:13+02:00 |