Estoy creando mi propio servidor openvpn .
La entidad emisora de certificados se encuentra en un host separado.
Hay dos tipos de clientes: que solo envían un .csr
y a los que envío .crt
como respuesta y el otro que yo mismo construyo.
En el segundo caso, creo el .key
y .csr
usando:
openssl req -days 3652 -nodes -new -keyout NewClient007.key -out NewClient007.csr
que el certificado firmado por:
openssl ca -days 3652 -out NewClient007.crt -in NewClient007.csr
Entonces, a partir de ahí, instalaré tanto .key
como .crt
en el nuevo cliente y eliminaré .key
de CA .
Si entiendo correctamente, el .crt
puede ser útil si quiero revocar la clave, en el futuro (pero se copia en Id.pem
, donde Id es el número de índice).
Estado actual, donde se encuentran los archivos ssl:
server:
ca.crt CA's public certificate
server.crt server public certificate
server.key server private key
crl.pem CA signed certificates revocation list
dh1024.pem Diffie-Hellman parameters file
certificate authority:
ca.key CA's private key
ca.crt CA's public certificate
index.txt Index of signed keys
serial number of next entry in index.txt
index.txt.attr attributes for index file
ClientXXXX.crt All clients certificates
ClientXXXX.csr All clients signing requests
YY.pem Copy of clients certificates according to index nr.
clients:
ca.crt CA's public certificate
ClientXXXX.crt The client certificate
ClientXXXX.key The client key
Cuando compilo la clave del cliente, se destruyen inmediatamente y se eliminan una vez que están instaladas en el cliente.
Así que creo (pero no estoy seguro) que podría eliminar todos los ClientXXXX.csr
y ClientXXXX.crt
de CA ...
... Así que ahí está mi pregunta:
¿podría necesitar volver a acceder al archivo .csr
o puedo eliminarlos definitivamente?