从这个问题的答案build议不要在ca.key主页的服务器上创build客户端密钥,而是让客户端创build自己的私钥,并简单地将csr传递给ca服务器进行签名并取回。 这样私钥不必分配。
我search了相当多的条款和短语,但我怎么做到这一点,我已经遇到了什么问题。 我看了openvpn的howto,虽然它讨论了这个选项,但它并没有说明如何。 任何人都可以指向我的任何教程等?
我也想知道这对客户来说是多么的容易,特别是如果他们不太喜欢电脑的话。
有几种方法。
我们最常做的事情是,因为我们的大多数证书是直接发布到硬件令牌上的,而最终用户是基于Windows / IE的,就是使用MS CAPI自动生成密钥和来自浏览器的请求。 这是相当安全和完全低的接触。 如果您的用户是基于Windows的,并且您打算将证书安装在本地证书存储区中,则这将适合您。 一旦证书被签署,您就可以向他们提供一个链接来收集他们的证书,并将其与现有的私钥一起放回商店。
或者,我们为非Wintel用户所做的一些事情是为他们提供完整的命令,他们可以复制并运行以生成所需的输出。 通常这是我们的OpenSSL,但是你可以参考OpenVPN打包的工具,因为它们应该已经安装了。 然后他们将CSR粘贴回网页表单,接收一些简单的validation并发回给签名。 然后你把他们的CRT归还给他们,最后说明做什么。
我的经验是,您需要以尽可能less的指示向用户提供“做什么”的详细信息。 尽量为他们尽可能地做好工作,限制误解的范围。
特别是我build立客户端的密钥和证书在一个远程机器不同于openvpn服务器。 你可以在这里find一个很好的tuto,我希望可以帮助你http://www.throx.net/2008/04/13/openvpn-and-centos-5-installation-and-configuration-guide/