Mục lục
Chuẩn bị:
- Server chạy linux: Redhat, Ubuntu,…
- Tải easyRSA từ github tại: https://github.com/OpenVPN/easy-rsa
Các bước thực hiện ký certificate
1. Tạo PKI và CA:
./easyrsa init-pki
./easyrsa build-ca
CA sẽ được tạo
CA creation complete. Your new CA certificate is at:
* /root/easy-rsa-master/easyrsa3/pki/ca.crt
2. Input CSR vào CA để ký
Cách 1: Tự genreate Request
./easyrsa gen-req EntityName
Ví dụ:
Cách 2: Import request vào .req file
Copy CSR vào file, ví dụ /tmp/path/to/import.req
Thực hiện import request.
./easyrsa import-req /tmp/path/to/import.req EntityName
Ví dụ:
./easyrsa import-req vcenter8.techdata.local.req vcenter8.techdata.local
3. Thực hiện ký Cert.
./easyrsa sign-req client/server/ca EntityName
Ví dụ
./easyrsa sign-req server vcenter8.techdata.local
- client – TLS client, dùng cho VPN user hoặc web browser (web client)
- server – TLS server, dùng cho VPN hoặc web server
- ca – tạo sub CA, được sử dụng đề tạo nhiều CA.
Thông tin vị trí của file crt được thông báo sau khi cert được ký thành công. Bây giờ bạn có thể import cert vào các hệ thống khác.
4. Chuyển form của Cert thành PEM nếu cần.
openssl x509 -in vcenter8.techdata.local.crt -out vcenter8.techdata.local.crt --outform=PEM
5. Thu hồi cert trong trường hợp cần thiết
./easyrsa revoke nameOfRequest