Проблема заключается в следующем:
Надо создать два центра сертификации (RootCA и SubCA) и настроить настроить OpenVPN с подписанными сертификатами в ЦС.
Я опишу шаги, которые я выполнил, но зашел в тупик, я что-то упускаю, но не вижу что.
Берем три сервера (debian 9) называем их RootCA, SubCA, OpenVPNsrv. На всех трех серверах скачиваем easyrsa и распаковываем архивы. На третьем сервере OpenVPNsrv устанавливаем openvpn. Далее по командам.



wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz




tar xvf EasyRSA-3.0.4.tgz




cd ~/EasyRSA-3.0.4/



Данные действия выполняем на всех машинах.



cp vars.example vars



На RootCA и SubCA редактируем данный файл находим необходимый блок, раскомментируем его и пропишем свои значения:



set_var EASYRSA_REQ_COUNTRY «PB»




set_var EASYRSA_REQ_PROVINCE «Minsk»




set_var EASYRSA_REQ_CITY «Minsk»




set_var EASYRSA_REQ_ORG «company»




set_var EASYRSA_REQ_EMAIL «me@example.com»




set_var EASYRSA_REQ_OU «IT»



Так же меняем значение сроков действия сертификатов. На сервере RootCA:



set_var EASYRSA_CA_EXPIRE 3650




set_var EASYRSA_CERT_EXPIRE 1825



На SubCA:



set_var EASYRSA_CA_EXPIRE 1825




set_var EASYRSA_CERT_EXPIRE 365



Далее на RootCA:



./easyrsa init-pki




./easyrsa build-ca nopass



На SubCA:



./easyrsa init-pki




./easyrsa build-ca subca nopass



Передаем файл ca.req серверу RootCA, импортируем, подписываем и возвращаем обратно на SubCA:



./easyrsa import-req ca.req ca




./easyrsa sign-req ca ca



Далее на сервере OpenVPNsrv создаем необходимые сертификаты (запросы) для работы OpenVPN:



./easyrsa gen-req servername nopass




./easyrsa gen-req username nopass




./easyrsa gen-dh




sudo openvpn –genkey –secret ta.key



Подписываю сертификаты на SubCA:



./easyrsa import-req /tmp/servername.req servername




./easyrsa sign-req server servername




./easyrsa import-req /tmp/username.req username




./easyrsa sign-req client username



Все ключи раскладываю в нужные места: для сервера в /etc/openvpn/ :



server.conf




ta.key




ca.crt




server.crt




server.key




dh.pem



Для пользователя генерирую файл user.ovpn, куда добавляю:



ca.crt




user.key




user.crt




ta.key



Запускаю openvpn:



systemctl start openvpn@server



Сервер стартует и работает.
Но когда подключаюсь клиентом, но мне выдает ошибку аутентификации.


Но если делаю все тоже самое, но не использую SubCA, то все работает.


Что я упускаю?









 , ,






URL записи