На сервере обновился openvpn до версии 2.3.6.
Исчезла возможность генерировать сертификаты. Думал, сойду с ума: . ./vars исчез.
Теперь изменилась идеология:
Для OpenVPN версии выше 2.3 набор скриптов easy-rsa не входит в инсталляцию по умолчанию, а скачивается отдельно:
mkdir /src; cd /src && wget
https://github.com/OpenVPN/easy-rsa/archive/master.zipunzip master.zip
cd easy-rsa-master
./build/build-dist.sh
Распакуем полученный архив:
tar zxvf EasyRSA-git-development.tgz && cd EasyRSA-git-development
И потом можно генерировать, но не так как раньше, а вот так:
./easyrsa init-pki
./easyrsa build-ca
Попросит дважды ввести новый пароль для ca.crt. Получим:
./pki/ca.crt
Сгенерируем ключи для сервера:
./easyrsa build-server-full server
Попросит дважды ввести новый пароль для PEM и один раз повторить пароль, сгенерированный ранее для ca.crt
Получим:
./pki/private/server.key
Сгенерируем ключи для клиента:
./easyrsa build-client-full client1
Попросит дважды ввести новый пароль для PEM и один раз повторить пароль, сгенерированный ранее для ca.crt
Получим:
./pki/private/client1.key
./pki/issued/client1.crt
Сгенерируем файл с параметрами Диффи-Хеллмана (dh.pem):
./easyrsa gen-dh
Это может занять продолжительное время.
Получим:
./pki/dh.pem
./easyrsa init-pki
./easyrsa build-ca
Попросит дважды ввести новый пароль для ca.crt. Получим:
./pki/ca.crt
Сгенерируем ключи для сервера:
./easyrsa build-server-full server
Попросит дважды ввести новый пароль для PEM и один раз повторить пароль, сгенерированный ранее для ca.crt
Получим:
./pki/private/server.key
Сгенерируем ключи для клиента:
./easyrsa build-client-full client1
Попросит дважды ввести новый пароль для PEM и один раз повторить пароль, сгенерированный ранее для ca.crt
Получим:
./pki/private/client1.key
./pki/issued/client1.crt
Сгенерируем файл с параметрами Диффи-Хеллмана (dh.pem):
./easyrsa gen-dh
Это может занять продолжительное время.
Получим:
./pki/dh.pem
Перенесём полученные файлы в /etc/openvpn/ для удобства:
mv ./pki/dh.pem /etc/openvpn/dh1024.pem
mv ./pki/private/client1.key /etc/openvpn/
mv ./pki/private/server.key /etc/openvpn/
mv ./pki/ca.crt /etc/openvpn/
mv ./pki/issued/client1.crt /etc/openvpn/
mv ./pki/issued/server.crt /etc/openvpn/
Файлы client1.crt, client1.key, ca.crt нужно скопировать на компьютер клиента, который будет подключаться к OpenVPN-серверу:
cd /etc/openvpn
mkdir ovpn-client
cp -rp client1.crt client1.key ca.crt ./ovpn-client/
zip ovpn-client.zip ./ovpn-client/*
На форуме ничего похожего не нашел. Может, где-то в FAQ есть?
Остался один вопрос, но очень важный: не нашел команду, аналогичную старой:
Где
build-key-pkcs12