Удостоверяющий центр OpenSSL

Создайте пользователя с именем, например, ca и перейдите в его домашний каталог:

# adduser ca
# su ca
$ cd ~

Создадим папку перейдем в нее и загрузим дистрибутив программы утилитой wget.

wget  https://github.com/OpenVPN/easy-rsa/archive/master.zip

После загрузки распакуйте архив master.zip:

$ unzip master.zip

переходим в каталог

cd easy-rsa-master/easyrsa3

Копируем файл настроек

cp vars.example vars

Открываем его для редактирования

mcedit ./vars

# меняем строки
set_var EASYRSA_KEY_SIZE  # Длинна ключа
set_var EASYRSA_CA_EXPIRE<----->3650 # Срок действия ключа в днях

# описание сертификатов по-умолчанию
set_var EASYRSA_REQ_COUNTRY<--->"RU"
set_var EASYRSA_REQ_PROVINCE<-->"RUS"
set_var EASYRSA_REQ_CITY<------>"Perm"
set_var EASYRSA_REQ_ORG>"Copyleft Certificate Co"
set_var EASYRSA_REQ_EMAIL<----->"admin@adminunix.ru"
set_var EASYRSA_REQ_OU<><------>"adminunix"

Создаем инфраструктуру публичных ключей (Public Key Infrastructure, PKI):

$ cd easy-rsa-master/easyrsa3
$ ./easyrsa init-pki

Видим следующее сообщение:

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/ca/easy-rsa-master/easyrsa3/pki

В результате выполнения команды init-pki был создан каталог /home/ca/easy-rsa-master/easyrsa3/pki, где и находится инфраструктура публичных ключей PKI.

Далее с помощью команды build-ca создайте удостоверяющий центр CA:

$ ./easyrsa build-ca

В ответ на эту команду вам будет предложено ввести пароль и так называемое имя Common Name:
Пароль будет защищать приватный ключ удостоверяющего центра, созданный в формате PEM (Privacy Enhancement for Internet Electronic Mail). Этот пароль потребуется каждый раз, когда вы будете подписывать в удостоверяющем центре сертификаты для серверов и клиентов.

Создание списка отзывов сертификатов

Если сотрудник уволился, необходимо заблокировать его доступ в сеть VPN компании. Специально для этой цели в OpenVPN предусмотрен список отзыва сертификатов CRL. Создайте его такой командой:

$ cd /home/ca/easy-rsa-master/easyrsa3
$ ./easyrsa gen-crl

У вас будет запрошен пароль доступа к приватному ключу ca.key удостоверяющего центра. Список отзыва сертификатов будет создан в файле /home/ca/easy-rsa-master/easyrsa3/pki/crl.pem.