Ссылка на скачивание программы xca - https://hohnstaedt.de/xca/index.php/download 


Для удобства работы создана база данных OpenVPN.xdb с шаблонами:

  • OpenVPN_ЦС
  • OpenVPN_Сервер
  • OpenVPN_Клиент


    Создание нового центра сертификации


Перейти на вкладку "Сертификаты" (1) и нажать кнопку Новый сертификат (2)


На вкладке "Первоисточник": 

  • в разделе Подписание выбрать "Создать самозаверенный сертификат"
  • в поле Алгоритм подписи выбрать SHA256
  • в разделе "Шаблон для нового сертификата" выбрать OpenVPN_ЦС (3)
  • нажать кнопку Применить всё (4)


На вкладке "Субъект" нужно заполнить поля:

  • countryName
  • stateOfProvinceName
  • localityName
  • organizationName
  • organizationUnitName
  • commonName
  • emailAddress

Затем сгенерировать новый ключ RSA, 2048 bit


На вкладке "Расширения" можно задать срок действия сертификата.


    Создание сертификата сервера


Перейти на вкладку "Сертификаты" и нажать кнопку Новый сертификат


На вкладке "Первоисточник":

  • в поле Использовать этот сертификат для подписи (1) нужно выбрать созданный ранее CA
  • в поле Алгоритм подписи выбрать SHA256
  • в поле Шаблон для нового сертификата выбрать OpenVPN_Сервер (2)
  • нажать кнопку Применить всё (3)


На вкладке "Субъект" нужно заполнить поля:

  • Внутреннее имя
  • countryName
  • stateOfProvinceName
  • localityName
  • organizationName
  • organizationUnitName
  • commonName
  • emailAddress

Затем сгенерировать новый ключ RSA, 2048 bit



    Создание сертификата клиента


Перейти на вкладку "Сертификаты" и нажать кнопку Новый сертификат


На вкладке "Первоисточник":

  • в поле Использовать этот сертификат для подписи (1) нужно выбрать созданный ранее CA
  • в поле Алгоритм подписи выбрать SHA256
  • в поле Шаблон для нового сертификата выбрать OpenVPN_Клиент (2)
  • нажать кнопку Применить всё (3)


На вкладке "Субъект" нужно заполнить поля:

  • Внутреннее имя
  • countryName
  • stateOfProvinceName
  • localityName
  • organizationName
  • organizationUnitName
  • commonName
  • emailAddress

Затем сгенерировать новый ключ RSA, 2048 bit


    Экспорт сертификата


  • Перейти на вкладку Сертификаты
  • Выбрать нужный Сертификат
  • Нажать Экспорт (1)
  • В появившемся окне нужно в поле "Формат сертификата" (2) выбрать PEM (*.crt), указать путь к файлу (3)
  • Нажать кнопку OK


    Экспорт закрытого ключа


  • Перейти на вкладку Закрытые ключи
  • Выбрать нужный Ключ
  • Нажать Экспорт (1)
  • В появившемся окне нужно в поле "Формат сертификата" (2) выбрать Закрытый ключ PEM (*.crt), указать путь к файлу (3)
  • Нажать кнопку OK


    Генерация параметров Диффи - Хеллмана (DH)

  • Меню Дополнительно/Сгенерировать параметры Диффи — Хеллмана
  • В появившемся окне нужно выбрать 2048
  • Нажать кнопку OK
  • Начнётся процесс генерации, который может занять несколько минут!
  • После появится диалог с переложением сохранить файл dh2048.pem