Ссылка на скачивание программы xca - https://hohnstaedt.de/xca/index.php/download
Для удобства работы создана база данных OpenVPN.xdb с шаблонами:
- OpenVPN_ЦС
- OpenVPN_Сервер
- OpenVPN_Клиент
Создание нового центра сертификации
Перейти на вкладку "Сертификаты" (1) и нажать кнопку Новый сертификат (2)
На вкладке "Первоисточник":
- в разделе Подписание выбрать "Создать самозаверенный сертификат"
- в поле Алгоритм подписи выбрать SHA256
- в разделе "Шаблон для нового сертификата" выбрать OpenVPN_ЦС (3)
- нажать кнопку Применить всё (4)
На вкладке "Субъект" нужно заполнить поля:
- countryName
- stateOfProvinceName
- localityName
- organizationName
- organizationUnitName
- commonName
- emailAddress
Затем сгенерировать новый ключ RSA, 2048 bit
На вкладке "Расширения" можно задать срок действия сертификата.
Создание сертификата сервера
Перейти на вкладку "Сертификаты" и нажать кнопку Новый сертификат
На вкладке "Первоисточник":
- в поле Использовать этот сертификат для подписи (1) нужно выбрать созданный ранее CA
- в поле Алгоритм подписи выбрать SHA256
- в поле Шаблон для нового сертификата выбрать OpenVPN_Сервер (2)
- нажать кнопку Применить всё (3)
На вкладке "Субъект" нужно заполнить поля:
- Внутреннее имя
- countryName
- stateOfProvinceName
- localityName
- organizationName
- organizationUnitName
- commonName
- emailAddress
Затем сгенерировать новый ключ RSA, 2048 bit
Создание сертификата клиента
Перейти на вкладку "Сертификаты" и нажать кнопку Новый сертификат
На вкладке "Первоисточник":
- в поле Использовать этот сертификат для подписи (1) нужно выбрать созданный ранее CA
- в поле Алгоритм подписи выбрать SHA256
- в поле Шаблон для нового сертификата выбрать OpenVPN_Клиент (2)
- нажать кнопку Применить всё (3)
На вкладке "Субъект" нужно заполнить поля:
- Внутреннее имя
- countryName
- stateOfProvinceName
- localityName
- organizationName
- organizationUnitName
- commonName
- emailAddress
Затем сгенерировать новый ключ RSA, 2048 bit
Экспорт сертификата
- Перейти на вкладку Сертификаты
- Выбрать нужный Сертификат
- Нажать Экспорт (1)
- В появившемся окне нужно в поле "Формат сертификата" (2) выбрать PEM (*.crt), указать путь к файлу (3)
- Нажать кнопку OK
Экспорт закрытого ключа
- Перейти на вкладку Закрытые ключи
- Выбрать нужный Ключ
- Нажать Экспорт (1)
- В появившемся окне нужно в поле "Формат сертификата" (2) выбрать Закрытый ключ PEM (*.crt), указать путь к файлу (3)
- Нажать кнопку OK
Генерация параметров Диффи - Хеллмана (DH)
- Меню Дополнительно/Сгенерировать параметры Диффи — Хеллмана
- В появившемся окне нужно выбрать 2048
- Нажать кнопку OK
- Начнётся процесс генерации, который может занять несколько минут!
- После появится диалог с переложением сохранить файл dh2048.pem