我有两个vpn主机,vpn1是主要的,vpn2是一个热故障切换机器,用于vpn1closures的情况,无论是有计划的还是无计划的。
现在,我们使用openvpn提供的easy-rsa shell脚本包来pipe理客户端密钥,但是我的前任设置的过程是在vpn1上运行构build密钥脚本,然后在vpn2上运行相同的答案,但只是从vpn1发送给客户端的密钥/ crt。
这在我看来,在两个层面上是错误的:一个,我不认为这是可行的; vpn1的密钥不太可能通过这种方式对vpn2进行身份validation,另外两个是额外的工作。
我宁愿在两台机器之间同步密钥存储。 这可能吗? 如果是这样,我需要确保两台机器之间是否同步?
通过我的openvpnconfiguration,服务器在最终用户提交证书时询问自己的问题是:此证书是否由正确的CA签名?
如果两台服务器都安装了相同的CA根证书,则不需要同步密钥库,因为根本不需要两个密钥库。 你需要一个keystore,它不需要在两个openvpn盒子中的任何一个(可以说不应该)。 在该密钥库中,您可以使CA根用于openvpn服务器,并告诉它们在哪里:
ca /etc/openvpn/keys/ca.crt 并且使用该CA签名的客户端证书以及客户端可用的相应密钥。 您还可以创build服务器的证书/密钥文件对,并将其放在一台或两台服务器上(或者为每台服务器生成一对,如果您愿意的话;如果客户端设置为validation服务器,并且拥有CA的副本证书,或者没事的)。 服务器可以validation客户端证书,因为它具有CA证书的副本。 服务器不需要查看密钥库,除了客户端之外。