Openvpn. Не получается создать сертификат

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kokerman
рядовой
Сообщения: 11
Зарегистрирован: 2008-11-18 12:28:08

Openvpn. Не получается создать сертификат

Непрочитанное сообщение kokerman » 2010-02-10 12:21:15

Здрасте!
...сертификат X.509 для сервера.
. ./build-ca нормально отрабатывает,
. ./build-key-server server выкидывает инструкцию как пользоваться pkitool, заветные вопросы не задаёт. Пытался уже по всякому...

Код: Выделить всё

#pkg_info | grep openvpn
openvpn-2.1.1       Secure IP/Ethernet tunnel daemon

# uname -a
FreeBSD  6.1-RELEASE FreeBSD 6.1-RELEASE #0: Tue Aug 22 12:31:51 MSD 2006     root@:/usr/obj/usr/src/sys/WOLGATE  i386

Что я делаю не так, подскажите!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение hizel » 2010-02-10 12:24:38

где лог действий, а фрю стоит обновить
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

kokerman
рядовой
Сообщения: 11
Зарегистрирован: 2008-11-18 12:28:08

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение kokerman » 2010-02-10 12:36:17

Приветствую!
Вот лог:

Код: Выделить всё

doctormedia# sh
# ls
Makefile                build-key-pass          inherit-inter           revoke-full
README                  build-key-pkcs12        keys                    sign-req
build-ca                build-key-server        list-crl                vars
build-dh                build-req               openssl-0.9.6.cnf       whichopensslcnf
build-inter             build-req-pass          openssl.cnf
build-key               clean-all               pkitool
# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
# . ./clean-all
# . ./build-ca
Generating a 1024 bit RSA private key
..................................++++++
....................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:ru
State or Province Name (full name) [CA]:msk
Locality Name (eg, city) [SanFrancisco]:msk
Organization Name (eg, company) [Fort-Funston]:server
Organizational Unit Name (eg, section) []:server
Common Name (eg, your name or your server's hostname) [Fort-Funston CA]:server
Name []:server
Email Address [me@myhost.mydomain]:
# . ./build-key-server server
pkitool 2.0
Usage: pkitool [options...] [common-name]
Options:
  --batch    : batch mode (default)
  --keysize  : Set keysize
      size   : size (default=1024)
  --interact : interactive mode
  --server   : build server cert
  --initca   : build root CA
  --inter    : build intermediate CA
  --pass     : encrypt private key with password
  --csr      : only generate a CSR, do not sign
  --sign     : sign an existing CSR
  --pkcs12   : generate a combined PKCS#12 file
  --pkcs11   : generate certificate on PKCS#11 token
      lib    : PKCS#11 library
      slot   : PKCS#11 slot
      id     : PKCS#11 object id (hex string)
      label  : PKCS#11 object label
Standalone options:
  --pkcs11-slots   : list PKCS#11 slots
      lib    : PKCS#11 library
  --pkcs11-objects : list PKCS#11 token objects
      lib    : PKCS#11 library
      slot   : PKCS#11 slot
  --pkcs11-init    : initialize PKCS#11 token DANGEROUS!!!
      lib    : PKCS#11 library
      slot   : PKCS#11 slot
      label  : PKCS#11 token label
Notes:
  Please edit the vars script to reflect your configuration,
  then source it with "source ./vars".
  Next, to start with a fresh PKI configuration and to delete any
  previous certificates and keys, run "./clean-all".
  Finally, you can run this tool (pkitool) to build certificates/keys.
  In order to use PKCS#11 interface you must have opensc-0.10.0 or higher.
Generated files and corresponding OpenVPN directives:
(Files will be placed in the $KEY_DIR directory, defined in ./vars)
  ca.crt     -> root certificate (--ca)
  ca.key     -> root key, keep secure (not directly used by OpenVPN)
  .crt files -> client/server certificates (--cert)
  .key files -> private keys, keep secure (--key)
  .csr files -> certificate signing request (not directly used by OpenVPN)
  dh1024.pem or dh2048.pem -> Diffie Hellman parameters (--dh)
Examples:
  pkitool --initca          -> Build root certificate
  pkitool --initca --pass   -> Build root certificate with password-protected key
  pkitool --server server1  -> Build "server1" certificate/key
  pkitool client1           -> Build "client1" certificate/key
  pkitool --pass client2    -> Build password-protected "client2" certificate/key
  pkitool --pkcs12 client3  -> Build "client3" certificate/key in PKCS#12 format
  pkitool --csr client4     -> Build "client4" CSR to be signed by another CA
  pkitool --sign client4    -> Sign "client4" CSR
  pkitool --inter interca   -> Build an intermediate key-signing certificate/key
                               Also see ./inherit-inter script.
  pkitool --pkcs11 /usr/lib/pkcs11/lib1 0 010203 "client5 id" client5
                              -> Build "client5" certificate/key in PKCS#11 token
Typical usage for initial PKI setup.  Build myserver, client1, and client2 cert/keys.
Protect client2 key with a password.  Build DH parms.  Generated files in ./keys :
  [edit vars with your site-specific info]
  source ./vars
  ./clean-all
  ./build-dh     -> takes a long time, consider backgrounding
  ./pkitool --initca
  ./pkitool --server myserver
  ./pkitool client1
  ./pkitool --pass client2
Typical usage for adding client cert to existing PKI:
  source ./vars
  ./pkitool client-new
#


kokerman
рядовой
Сообщения: 11
Зарегистрирован: 2008-11-18 12:28:08

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение kokerman » 2010-02-10 13:17:13

Burner писал(а):a source ./vars?
Ну собственно вот, делал по доке, все они так советуют:

Код: Выделить всё

# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
А если так:

Код: Выделить всё

# source ./vars
source: not found

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение hizel » 2010-02-10 15:19:14

Код: Выделить всё

. ./vars
sh ./build-key-server server1
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

silent
мл. сержант
Сообщения: 82
Зарегистрирован: 2008-06-10 15:56:37

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение silent » 2010-02-10 15:20:32

Попробуй сначала:

Код: Выделить всё

chmod +x build-key-server

kokerman
рядовой
Сообщения: 11
Зарегистрирован: 2008-11-18 12:28:08

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение kokerman » 2010-02-10 15:35:38

hizel

Гениально, спасибо!
Срабатывает только если передо командой sh писать:

Код: Выделить всё

# sh ./build-key-server server
Generating a 1024 bit RSA private key
....++++++
..........................++++++
writing new private key to 'server.key'
-----

silent
Так сделал конечно изначально.

Всем спасибо, тема закрыта.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Openvpn. Не получается создать сертификат

Непрочитанное сообщение hizel » 2010-02-10 15:43:31

сбивало то что раньше там все было написано на bash
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.