OpenVPN kolay-rsa yapı anahtarı otomasyonu?

Müşterilerim VPN sunucusu için üretecek çok sayıda anahtarım var. Ne zaman böyle anahtarları oluşturmak için easy-rsa kullanın:

./build-key client1

Bir dizi soru içeren bazı çıktılar var. Tüm sorular, varsdosyada tanımlanan varsayılan yanıtlara sahiptir .

Generating a 1024 bit RSA private key
............................................++++++
.......................++++++
writing new private key to 'client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CO]:
Locality Name (eg, city) [Denver]:
Organization Name (eg, company) [mycompany]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [client1]:
Email Address [it@mycompany.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CO'
localityName          :PRINTABLE:'Denver'
organizationName      :PRINTABLE:'mycompany'
commonName            :PRINTABLE:'client1'
emailAddress          :IA5STRING:'it@mycompany.com'
Certificate is to be certified until Jan  3 20:16:04 2038 GMT (9999 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Sonuçta, aşağıdaki tuşlara el ile basmam gerekiyor:

ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
y
ENTER
y
ENTER

Temel olarak tüm varsayılan cevapları kabul ediyorum ve son iki soruya 'evet' diyorum. Kullanabileceğim herhangi bir bayrak -forceveya -quietbayrak var build-keymı? Değilse, bunu her zaman yapmak için kullanabileceğim komut dosyası veya bash hileleri var mı? Adam sayfalarında bunun hakkında hiçbir şey bulamıyorum.

Kaynağına bakarsanız, bunun build-keysizi aradığını görürsünüz pkitool. Cilent'in anahtarlarını ve uygun openvpn yapılandırma dosyalarını daha sonra kullanıcılarıma verebileceğim bir tarball'a paketlemek için bir sarıcı yazdım:

#!/bin/bash

client=$1

if [ x$client = x ]; then
    echo "Usage: $0 clientname"
    exit 1
fi

if [ ! -e keys/$client.key ]; then
    echo "Generating keys..."
    . vars
    ./pkitool $client
    echo "...keys generated." 
fi

tarball=./keys/$client.tgz

if [ ! -e $tarball ]; then
    echo "Creating tarball..."
    tmpdir=/tmp/client-tar.$$
    mkdir $tmpdir
    cp company.ovpn $tmpdir/company.ovpn
    cp keys/ca.crt $tmpdir 
    cp keys/$client.key $tmpdir/client.key
    cp keys/$client.crt $tmpdir/client.crt
    tar -C $tmpdir -czvf $tarball .
    rm -rf $tmpdir
    echo "...tarball created" 
else
    echo "Nothing to do, so nothing done. (keys/$client.tgz already exists)" 
fi

deneyin - toplu bayrak

./build-key --batch client1

Aklıma en çabuk gelen şey expect; bu tür komut satırı etkileşimlerini otomatikleştirmenizi sağlar.

EasyRSA'nın yeni sürümü şu anda tek bir ikili olarak geliyor. Bir istemci anahtarı oluşturmayı otomatikleştirmek için artık "vars" dosyasını kullanabilirsiniz (sadece easyrsa ikili dosyası ile aynı dizine yerleştirin):

if [ -z "$EASYRSA_CALLER" ]; then
    echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
    echo "This is no longer necessary and is disallowed. See the section called" >&2
    echo "'How to use this file' near the top comments for more details." >&2
    return 1
fi

set_var EASYRSA        "$PWD"
set_var EASYRSA_OPENSSL        "openssl"
set_var EASYRSA_PKI            "$EASYRSA/pki"
set_var EASYRSA_DN     "org"

set_var EASYRSA_REQ_COUNTRY    "Country"
set_var EASYRSA_REQ_PROVINCE   "Province"
set_var EASYRSA_REQ_CITY       "City"
set_var EASYRSA_REQ_ORG        "Org Ltd"
set_var EASYRSA_REQ_EMAIL      "vpn@example.com"
set_var EASYRSA_REQ_OU         "Infrastructure"

set_var EASYRSA_KEY_SIZE       2048

set_var EASYRSA_ALGO           rsa

set_var EASYRSA_CA_EXPIRE      3650
set_var EASYRSA_CERT_EXPIRE    365
set_var EASYRSA_CRL_DAYS       180

set_var EASYRSA_TEMP_FILE      "$EASYRSA_PKI/extensions.temp"

ve EasyRSA'nın ikili dosyasını kullanın:

./easyrsa build-client-full client1 nopass

Ben de aynı problemi yaşadım.

Bulduğum çözüm:

echo -en "\ n \ n \ n \ n \ n \ n \ n \ ny \ ny \ n" | ./build-key istemcisi1

Bu benim kullandığım şeye benziyor. Umarım bu birine yardımcı olur, bunu anlaması saatler sürdü. Easy-rsa dizininde yürüttüğünüzden emin olun ve ./vars kaynağını unutmayın.

(echo -en "\n\n\n\n\n\n\n\n"; sleep 1; echo -en "\n"; sleep 1; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n") | ./build-key $key_id 

Pjz gibi bir sarıcı yaptım, ancak gerekli tüm dosyaları doğrudan kullanılabilen tek bir .ovpn dosyasına paketledim

#! / Bin / bash
cd /etc/openvpn/easy-rsa/2.0
İstemci = $ 1

[x $ istemci = x] ise; sonra
    echo "Kullanım: $ 0 müşteri adı"
    çıkış 1
fi

Eğer [ ! -e tuşları / $ client.key]; sonra
    echo "Anahtarlar oluşturuluyor ..."
    . vars
    ./pkitool $ istemci
    echo "... anahtarlar üretildi."
fi

demet =. / tuşları / $ client.ovpn

Eğer [ ! -e $ paket]; sonra
    echo "Paket oluşturuluyor ..."
    kedi anahtarları / template.ovpn >> $ bundle
    echo '' >> $ paket
    kedi tuşları / ca.crt >> $ paket
    echo '' >> $ paket
    echo '' >> $ paket
    echo '' >> $ paket
    awk '/ BAŞLANGIÇ BELGESİ /, 0' tuşları / $ client.crt >> $ bundle
    echo '' >> $ paket
    echo '' >> $ paket
    echo '' >> $ paket
    kedi anahtarları / $ client.key >> $ paket
    echo '' >> $ paket
    echo '' >> $ paket
    echo "... paket oluşturuldu"
Başka
    echo "Yapacak bir şey yok, bu yüzden hiçbir şey yapılmadı. (/ $ client.ovpn anahtarları zaten var)"
fi

Ben sadece freeBSD kutusu üzerinde sessizce openvpn kullanıcıları üreten, bu aynı şeyi yapmaya çalıştım.

Bu, uygun şekilde adlandırılmış yeni bir dosya ile sonuçlandı ./build-key-quiet

#!/bin/sh

# Make a certificate/private key pair using a locally generated
# root certificate.
# JP - automating my time away

cd /root/openvpn

client=$1

if [ x$client = x ];
    then
    echo "Usage: $0 clientname"
    exit 1
fi

if [ ! -e keys/$client.key ];
  then
    echo "Generating keys..."
    . ./vars
    ./pkitool $client
    echo "Great Success ...keys generated."
fi

echo 'Generating ovpn Files'
cd /root/clients
./make-client-config.sh $client
rm -rf /tmp/*.ovpn
cp /root/clients/files/$client.ovpn /tmp/
chmod 777 /root/clients/files/*.ovpn

echo "cleaning up /tmp/ of old ovpn files..."
echo "OVPN file generated and copied into /tmp/$client.ovpn"

(echo -en "\n\n\n\n\n\n\n\n"; sleep 1; echo -en "\n"; sleep 1; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n") | ./build-key $key_id

sadece yapı anahtarı dosyasını düzenleyin ve --interactfarkında olduğum en kolay yöntemi kaldırın