Tanúsítványok létrehozása és exportálása – Linux – OpenSSL

  • Cikk

A VPN Gateway pont–hely kapcsolatok (P2S) tanúsítványhitelesítés használatára konfigurálhatók. A rendszer feltölti a főtanúsítvány nyilvános kulcsát az Azure-ba, és minden VPN-ügyfélnek helyileg kell telepítenie a megfelelő tanúsítványfájlokat a csatlakozáshoz. Ez a cikk segít létrehozni egy önaláírt főtanúsítványt, és ügyféltanúsítványokat létrehozni az OpenSSL használatával. További információ: Pont–hely konfiguráció – tanúsítványhitelesítés.

Előfeltételek

A cikk használatához openSSL-t futtató számítógéppel kell rendelkeznie.

Önaláírt főtanúsítvány

Ez a szakasz segít létrehozni egy önaláírt főtanúsítványt. A tanúsítvány létrehozása után exportálja a főtanúsítvány nyilvános kulcsú adatfájlt.

  1. Az alábbi példa segít létrehozni az önaláírt főtanúsítványt.

    openssl genrsa -out caKey.pem 2048
openssl req -x509 -new -nodes -key caKey.pem -subj "/CN=VPN CA" -days 3650 -out caCert.pem

  2. Az önaláírt főtanúsítvány nyilvános adatainak nyomtatása base64 formátumban. Ezt a formátumot támogatja az Azure. Töltse fel ezt a tanúsítványt az Azure-ba a P2S konfigurációs lépéseinek részeként.

    openssl x509 -in caCert.pem -outform der | base64 -w0 && echo

Ügyféltanúsítványok

Ebben a szakaszban a felhasználói tanúsítványt (ügyféltanúsítványt) hozza létre. A tanúsítványfájlok abban a helyi könyvtárban jönnek létre, amelyben a parancsokat futtatja. Használhatja ugyanazt az ügyféltanúsítványt minden ügyfélszámítógépen, vagy létrehozhat az egyes ügyfelekre jellemző tanúsítványokat. Fontos, hogy az ügyféltanúsítványt a főtanúsítvány írja alá.

  1. Ügyféltanúsítvány létrehozásához használja az alábbi példákat.

    export PASSWORD="password"
export USERNAME=$(hostnamectl --static)

# Generate a private key
openssl genrsa -out "${USERNAME}Key.pem" 2048

# Generate a CSR (Certificate Sign Request)
openssl req -new -key "${USERNAME}Key.pem" -out "${USERNAME}Req.pem" -subj "/CN=${USERNAME}"

# Sign the CSR using the CA certificate and CA key
openssl x509 -req -days 365 -in "${USERNAME}Req.pem" -CA caCert.pem -CAkey caKey.pem -CAcreateserial -out "${USERNAME}Cert.pem" -extfile <(echo -e "subjectAltName=DNS:${USERNAME}\nextendedKeyUsage=clientAuth")

  2. Az ügyféltanúsítvány ellenőrzéséhez használja az alábbi példát.

    openssl verify -CAfile caCert.pem caCert.pem "${USERNAME}Cert.pem"

Következő lépések

A konfigurációs lépések folytatásához tekintse meg a pont–hely tanúsítvány hitelesítését.