Из ответов на это вопрос ive рекомендуется не создавать клиентские ключи на домашнем сервере для ca.key, а заставлять клиентов создавать свой собственный закрытый ключ и просто передавать csr на сервер ca, чтобы он был подписан и получил его обратно. Таким образом, не нужно распространять закрытые ключи.
Я погуглил довольно много терминов и фраз, но я ничего не нашел относительно того, как это сделать. Я посмотрел руководство по openvpn, и хотя в нем обсуждается этот вариант, не говорится, как это сделать. Может ли кто-нибудь указать мне на какие-либо руководства и т. Д.?
Я также хотел бы знать, насколько легко это будет сделать для клиентов, особенно если они не слишком увлечены компьютерами.
Есть несколько способов.
Чаще всего, поскольку большинство наших сертификатов выдается прямо на аппаратных токенах, а конечные пользователи основаны на Windows / IE, мы автоматически генерируем ключ и запрос из браузера с помощью MS CAPI. Это довольно надежный и очень низкий уровень касания. Это подойдет вам, если ваши пользователи работают с Windows и вы хотите, чтобы сертификаты были установлены в локальном хранилище сертификатов. После подписания сертификата вы можете предоставить им ссылку для получения сертификата и поместить его обратно в хранилище вместе с существующим закрытым ключом.
В качестве альтернативы то, что мы делаем для пользователей, не использующих Wintel, - это предоставление им полной команды, которую они могут скопировать и запустить для генерации требуемого вывода. Обычно для нас это OpenSSL, но вы можете ссылаться на утилиты, входящие в пакет OpenVPN, поскольку они уже должны быть установлены. Затем они вставляют CSR обратно в веб-форму, она проходит простую проверку и отправляется обратно на подпись. Затем вы возвращаете им ЭЛТ с последними инструкциями о том, что делать.
Мой опыт показывает, что вам нужно предоставить пользователям подробную информацию о том, «что делать», используя как можно меньше инструкций. Постарайтесь сделать как можно больше работы за них и ограничьте возможность неправильного толкования.
Специально я создаю клиентский ключ и сертификат на удаленном компьютере, который отличается от сервера openvpn. Вы можете найти здесь хороший учебник, я надеюсь, что это поможет вам http://www.throx.net/2008/04/13/openvpn-and-centos-5-installation-and-configuration-guide/