IKEv2およびOpenVPNの鍵と証明書の管理方法

今までにstrongSwan、OpenVPN、WI-FiのWPA2で鍵と証明書を作っていましたが、段々と管理が雑然としてしてきました。いくつか作っては放置したままになっていたり、うっかり消して作りなおしたりしてあまり安全性の面では良くありません。そこで管理アプリとして前にネットで見かけたLinux版XCAというアプリを使ってみました。

データベースを簡単に作れるので各サーバごとに分けたほうが管理が良さそうです。

OpenVPNを例に作成してみます。

まず最初にCAの鍵と証明書をインポートします。次に最初に作ったClientの鍵と証明書をインポートします。

この情報を元にClientの鍵と証明書をXCAで量産することが出来ます。テンプレートを作ります。

同じ場所から右クリックしてNEWを選択します。

Source:

  • Signing: Use this Certificate for signing
  • Template for the new certificate: 新しく作ったテンプレート  –> Apply all

Subject:

  • Internal name: 新しいユーザ名
  • commonName: 新しいユーザ名
  • Privcate key: Used keys tooをチェックしてGenerate a new keyで作成(例:RSA/4096 bit)

OKボタンを押します。

これでClientの鍵と証明書は完成です。

次にエキスポートします。

Certificate: Exportボタンを押して、ディレクトリを指定しそのままOKボタンを押してエキスポートします。

CA証明書を同様にエキスポートします。

秘密鍵はOpenVPNに合わせてPKCS#8フォーマットでエキスポートします。