我的公司使用OpenVPN将我们的客户连接到我们的中央服务器,以便于pipe理。 我们的防火墙软件(和他们的)已经build立了对OpenVPN的支持,并且包括一个证书生成器。 最近,这台发电机停止了工作,我们不知道为什么。 不过过去很困难,所以我们想尝试一种新的方法。
我们只想用OpenVPN在本地计算机上生成客户端证书,而不是使用防火墙软件,因为它似乎是越野车。 我们有一个现有的证书颁发机构,我有明文可读的完整证书。 这显然包括所有的发行者信息,模数,签名和证书本身。
我的问题是,我可以在基于Debian的Linux发行版上使用OpenVPN来从现有的证书颁发机构生成客户端证书吗? 我可以重新生成并签署一个新的CA,但是我宁愿不这样做,因为我们有很多客户端,更新他们的VPN客户端证书将是一件麻烦事。
我已经尝试使用OpenVPN生成CA,并使用我需要的证书更改证书数据,但是OpenVPN似乎与我的格式有所不同。
CA和客户端是PKCS12。 这可能吗? 或者我会不得不重做一切?
当然,为什么不呢?
openssl pkcs12 -in ca.pfx -out ca.crt -clcerts -nokeys openssl pkcs12 -in ca.pfx -out ca.key -nocerts -nodes
openssl genrsa -out client.key 4096 openssl req -sha256 -out client.csr -key client.key -new
openssl x509 -sha256 -req -days 365 -CA ca.crt -CAkey ca.key \
-in client.csr -set_serial 01 -out client.crt
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx