그래서 OpenVPN 서버를 마이그레이션했는데 간단해 보입니다. /etc/openvpn/*를 새 서버에 복사하기만 하면 됩니다.
그러나 키를 생성하면 클라이언트가 연결될 때 오류가 발생합니다. 이전 ca.crt를 사용하면 성공적으로 연결할 수 있습니다.
관련된 몇 가지 간단한 질문이 있습니다.
- ca.crt는 모든 고객이 받는 동일한 파일입니까, 아니면 각 사용자에 대해 생성됩니까? (모든 클라이언트가 동일한 파일을 가지고 있다는 인상을 받았지만 100%는 아닙니다)
나는 보통 3개의 파일을 생성한다.
client.csr client.crt client.key
.ovpn 구성 파일 내부에는 다음이 필요합니다.
ca.crt
client.crt
client.key
3. 클라이언트는 사용자별로 어떤 파일을 생성하며, 일반적으로 이 3개 파일 중 어떤 파일입니까?
어떤 파일이 필요한지 약간 혼란스럽습니다. 오래 전에 직접 이 작업을 수행했지만 이제는 더 큰 규모로 수행하라는 요청을 받고 있으며 "작동"하는지 더 철저하게 이해해야 합니다.
과거에 내가 했던 일은 client.csr의 이름을 client.ca로 바꾸는 것이었지만 틀렸을 수도 있습니다.
/etc/openvpn/의 루트 디렉터리에 ca.crt가 있지만 작동하지 않습니다! 그러나 /etc/openvpn/techsupport/ 아래에 2011년 이후 사용되지 않은 또 다른 완전한 인증서 트리가 있는 것 같습니다! 시도해야 할 ca.crt도 있습니다.
답변1
100%는 아니지만 이게 맞다, 그렇지 않다면 알려주세요. 잘못된 정보를 퍼뜨리고 싶지 않지만 가설/답변에 대한 좋은 출처를 찾았습니다.
기술적으로 사용할 때 4개의 파일을 만들었습니다.
./빌드 키 전달
Id.pem = where Id is the index number
client.crt = Clients Cert
cleint.key = client Key
client.csr = Client Signing Request
클라이언트는 다음 정보를 얻습니다.
clients:
ca.crt CA's public certificate
ClientXXXX.crt The client certificate
ClientXXXX.key The client key
CSR이 생성/서명되면 삭제할 수 있습니다(내가 읽은 내용에 따르면).여기)
ID.pem은 파일 기반 데이터베이스 시스템과 유사하게 나중에 실행 취소하는 데 사용됩니다. 필요한 두 파일은 client.crt와 client.key이고, 그 다음에는 "public CA.crt"는 두 가지 특성이 있음을 의미합니다.
이는 비밀이 아니며 모든 Open-VPN-Key 쌍과 함께 배포됩니다.
그래서 내 질문은 /etc/openvpn/* 디렉토리에서 발견된 잘못된 ca.crt를 사용하고 있다는 것입니다. 분명히 쓸모없는 /techsupport로 이를 보관하고 서버에서 ca.crt를 다시 만들어야 합니다. 다시는 일어나지 않습니다.
After comparing my ca.crt with a co-workers, this seems the logical choice.
마지막 요점:
- /etc/openvpn/에 있는 ca.crt 파일이 어떤 용도로 사용됩니까, 아니면 단지 이를 저장하기 위한 논리적 위치입니까?
[업데이트] 마지막 요점과 관련하여 /certs/keys/에 내 로컬인 ca.crt가 있다는 것을 알았습니다. 다시 한 번 제 질문은 /etc/openvpn/의 ca.crt가 어떤 작업을 수행합니까? 제거//keys/의 ca.crt로 교체해야 하는지입니다. 제 생각에는 이전 setup/config에서 나온 것 같습니다.