だから私はOpenVPNサーバーを移行しましたが、簡単に見えます。 /etc/openvpn/* を新しいサーバーにコピーするだけです。
ただし、キーを生成すると、クライアントが接続されたときにエラーが発生します。以前のca.crtを使用すると、正常に接続できます。
関連するいくつかの簡単な質問があります。
- ca.crtは、すべての顧客が受け取るのと同じファイルですか、それとも各ユーザーに対して作成されますか? (すべてのクライアントが同じファイルを持っているという印象を受けましたが、100%ではありません)
私は通常3つのファイルを作り出す。
client.csr client.crt client.key
.ovpn 構成ファイルの内部には、次のものが必要です。
ca.crt
client.crt
client.key
3. クライアントはユーザーごとにどんなファイルを生成します。
どのファイルが必要かは少し混乱しています。ずっと前にこの作業を行いましたが、今では大きな規模で実行するように求められており、「作業」するかどうかをより徹底的に理解する必要があります。
過去にやったことは、client.csrの名前をclient.caに変更することでしたが、間違っている可能性があります。
/etc/openvpn/のルートディレクトリにca.crtがありますが、動作しません!しかし、/etc/openvpn/techsupport/の下に、2011年以降使用されていない別の完全な証明書ツリーがあるようです!試す必要があるca.crtもあります。
答え1
100%ではありませんが、これは正しいです、そうでなければ教えてください。私は間違った情報を広げたくありませんが、仮説/回答の良い情報源を見つけました。
技術的に使用するときに4つのファイルを作成しました。
./ビルドキーの渡し
Id.pem = where Id is the index number
client.crt = Clients Cert
cleint.key = client Key
client.csr = Client Signing Request
クライアントは次の情報を取得します。
clients:
ca.crt CA's public certificate
ClientXXXX.crt The client certificate
ClientXXXX.key The client key
CSRが作成/署名されたら削除できます(私が読んだ内容によると)。ここ)
ID.pem は、ファイルベースのデータベースシステムと同様に、後で元に戻すために使用されます。必要な2つのファイルはclient.crtとclient.keyです。public CA.crt" は、2 つの特性があることを意味します。
これは秘密ではなく、すべてのOpen-VPN-Keyペアとともに配布されます。
だから私の質問は、/etc/openvpn/*ディレクトリに見つかった間違ったca.crtを使用していることです。明らかに、役に立たない/ techsupportでそれをアーカイブし、サーバー上でca.crtを再作成する必要があります。二度とは起きません。
After comparing my ca.crt with a co-workers, this seems the logical choice.
最後のポイント:
- /etc/openvpn/にあるca.crtファイルはどのような目的に使用されますか、それを保存するための論理的な場所ですか?
[更新]最後のポイントに関して、/certs/keys/に私のローカルca.crtがあることがわかりました。もう一度私の質問は/etc/openvpn/のca.crtが何をしますか?削除//keys/のca.crtに置き換える必要があるかどうか。私の考えでは、以前のsetup / configから来たようです。