12.1.4.1. Перевыпуск корневых сертификатов

Каждая система поставляется с преднастроенными корневыми (и серверными) сертификатами. Для большей безопасности нужно отозвать все существующие сертификаты и создать новые. Для этого следует подключиться к серверу по протоколу SSH (см. главу 1.3.2.5 Безопасность и работа с системой), и работать c файлами OpenVPN с помощью mc (Midnight Commander).

/etc/openvpn/easy-rsa/vars

В этом файле находятся основные настройки параметров выдачи сертификатов, его нужно редактировать если хотите изменить атрибуты корневых сертификатов. Вы должны точно представлять что делаете, для этого можете воспользоваться официальной документацией по OpenVPN/OpenSSL. Параметры, которые можно менять расположены в конце файла:

• KEY_COUNTRY=»RU»
• KEY_PROVINCE=»RU»
• KEY_CITY=»Ufa»
• KEY_ORG=»defaultOrganization«
• KEY_EMAIL=defaul@Email.com
• KEY_CN=AccountID
• KEY_NAME=DefaultUserName
• KEY_OU=general

После настройки этого файла следует запустить программу

/etc/openvpn/easy-rsa/configure

Эта программа удалит все существующие сертификаты, очистит базу данных сертификатов, инициализирует ключи шифрования и создаст корневые сертификаты. Она запустится в диалоговом режиме, и в нем же можно переопределить то, что сохранено в файле vars . Если изменения не требуется, то можно пропускать вопрос нажатием на кнопку [Enter]. Однако на два последних вопроса следует ответить утвердительно, нажав [y]:

Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y

На этом процедура перевыпуска завершена, все прежде выданные сертификаты более не действительны.