PKIの一般用語も含む
CA | 認証局 |
証明書認証 | 認証局立ててサーバー証明書とクライアント証明書を発行して認証。証明書の管理(紛失時は失効&再発行)や更新が面倒 |
ID&PW認証 | LDAPなどの外部システムと連携して認証を行う |
./easyrsa init-pki ./easyrsa build-ca
認証局にドメイン名をいれるけど、発行するのは別ドメインなのでここのドメイン名は適当で良い。 (本来のCAの役割であればその組織のドメインを入れるべきだが)
./easyrsa build-server-full server1 nopass ./easyrsa build-client-full user1 nopass
./easyrsa renew server1 nopass
ca.crt private/ca.key
./easyrsa --subject-alt-name='DNS:*.rutake.com,DNS:rutake.com' gen-req rutake.com nopass
./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' gen-req example.com nopass ./easyrsa --subject-alt-name='DNS:*.example.com,DNS:example.com' sign-req server example.com
https://www.server-world.info/query?os=CentOS_7&p=openvpn
<rule family="ipv4"> <source address="許可したいIP/32"/> <port protocol="udp" port="1194"/> <accept/> </rule>