| |
| easyrsa [2025/09/20 12:51] – created - external edit 127.0.0.1 | easyrsa [2025/09/21 14:48] (current) – kurgan |
|---|
| * EASYRSA_CERT_EXPIRE 18250 | * EASYRSA_CERT_EXPIRE 18250 |
| * Impostare l'ambiente della CA (cancella tutte le chiavi precedentemente generate, se ci sono!!!) con il comando ''./easyrsa init-pki'' | * Impostare l'ambiente della CA (cancella tutte le chiavi precedentemente generate, se ci sono!!!) con il comando ''./easyrsa init-pki'' |
| * Creare la CA con il comando {{{./easyrsa build-ca nopass}}}. Se volete impostare una password per il certificato della CA, togliete il parametro ''nopass'' | * Creare la CA con il comando ''./easyrsa build-ca nopass''. Se volete impostare una password per il certificato della CA, togliete il parametro ''nopass'' |
| * Creare una chiave per il server OpenVPN con il comando {{{./easyrsa build-server-full server nopass}}} Questo comando genera una chiave di tipo "server" con nome file "server" (.key e .crt). Ovviamente il nome del file e` a vostra scelta, e ovviamente e` possibile generare piu` di una chiave di tipo server se e` necessario. Nel caso della chiave server, a meno di esigenze particolari, e` opportuno usare il parametro ''"nopass"'' per generare una chiave che non richiede password, visto che il server dovra` potersi avviare senza che qualcuno digiti la password della sua chiave. | * Creare una chiave per il server OpenVPN con il comando ''./easyrsa build-server-full server nopass'' Questo comando genera una chiave di tipo "server" con nome file "server" (.key e .crt). Ovviamente il nome del file e` a vostra scelta, e ovviamente e` possibile generare piu` di una chiave di tipo server se e` necessario. Nel caso della chiave server, a meno di esigenze particolari, e` opportuno usare il parametro ''"nopass"'' per generare una chiave che non richiede password, visto che il server dovra` potersi avviare senza che qualcuno digiti la password della sua chiave. |
| * Creare una chiave per ogni client, con il comando {{{./easyrsa build-client-full <nome-file-chiave> nopass}}}. Se volete che il certificato abbia una password, togliete il parametro ''"nopass"''. La password puo` essere poi cambiata (o anche tolta o messa), volendo, dall'utente che usera` il certificato. | * Creare una chiave per ogni client, con il comando ''./easyrsa build-client-full <nome-file-chiave> nopass''. Se volete che il certificato abbia una password, togliete il parametro ''"nopass"''. La password puo` essere poi cambiata (o anche tolta o messa), volendo, dall'utente che usera` il certificato. |
| * Creare il file contenente i parametri DH per il server con il comando ''./easyrsa gen-dh'', che e` lentissimo, specie se usate keysize 4096. | * Creare il file contenente i parametri DH per il server con il comando ''./easyrsa gen-dh'', che e` lentissimo, specie se usate keysize 4096. |
| |
| * I files dei certificati (server e client) sono dentro a ''pki/issued'' | * I files dei certificati (server e client) sono dentro a ''pki/issued'' |
| |
| Se volete vedere delle informazioni su un certificato generato in precedenza, potete usare {{{./easyrsa show-cert <nome-file-certificato> full}}}. Il nome file e` senza ".crt" in fondo, e il parametro ''"full"'' puo` essere omesso per avere un output ridotto. | Se volete vedere delle informazioni su un certificato generato in precedenza, potete usare ''./easyrsa show-cert <nome-file-certificato> full''. Il nome file e` senza ".crt" in fondo, e il parametro ''"full"'' puo` essere omesso per avere un output ridotto. |
| |
| Se volete cambiare una password di una chiave privata generata in precedenza, potete usare ''./easyrsa set-rsa-pass <nome-file-chiave>'' (il nome del file e` senza ".key" in fondo) | Se volete cambiare una password di una chiave privata generata in precedenza, potete usare ''./easyrsa set-rsa-pass <nome-file-chiave>'' (il nome del file e` senza ".key" in fondo) |
| * Alla fine, rispondere di si` alle domande "Sign the certificate?" e "1 out of 1 certificate requests certified, commit?". | * Alla fine, rispondere di si` alle domande "Sign the certificate?" e "1 out of 1 certificate requests certified, commit?". |
| * Creare una coppia di chiavi per il primo client. Ovviamente se ne possono creare quante se ne vogliono, ripetendo questa procedura in futuro. | * Creare una coppia di chiavi per il primo client. Ovviamente se ne possono creare quante se ne vogliono, ripetendo questa procedura in futuro. |
| * eseguire il comando {{{./build-key <nome file della chiave>}}} (usare un nome tipo "client1" puo` andare bene). Se si vuole che l'utente del client debba inserire una password per usare la chiave, usare {{{build-key-pass}}} al posto di ''build-key''. | * eseguire il comando ''./build-key <nome file della chiave>'' (usare un nome tipo "client1" puo` andare bene). Se si vuole che l'utente del client debba inserire una password per usare la chiave, usare ''build-key-pass'' al posto di ''build-key''. |
| * Come per il server, rispondere alle domande che non hanno default con delle risposte sensate. Attenzione che il "Common Name" deve essere DIVERSO per ogni chiave generata. | * Come per il server, rispondere alle domande che non hanno default con delle risposte sensate. Attenzione che il "Common Name" deve essere DIVERSO per ogni chiave generata. |
| * Alla fine, rispondere di si` alle domande "Sign the certificate?" e "1 out of 1 certificate requests certified, commit?". | * Alla fine, rispondere di si` alle domande "Sign the certificate?" e "1 out of 1 certificate requests certified, commit?". |
