OpenVPN easy-rsa автоматизация сборки ключей?

У меня много ключей для генерации VPN-сервера для моих клиентов. Всякий раз, когда я использую easy-rsa для генерации таких ключей:

./build-key client1

Есть некоторый вывод с рядом вопросов. Все вопросы имеют ответы по умолчанию, которые определены в varsфайле.

Generating a 1024 bit RSA private key
............................................++++++
.......................++++++
writing new private key to 'client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [US]:
State or Province Name (full name) [CO]:
Locality Name (eg, city) [Denver]:
Organization Name (eg, company) [mycompany]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) [client1]:
Email Address [it@mycompany.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'US'
stateOrProvinceName   :PRINTABLE:'CO'
localityName          :PRINTABLE:'Denver'
organizationName      :PRINTABLE:'mycompany'
commonName            :PRINTABLE:'client1'
emailAddress          :IA5STRING:'it@mycompany.com'
Certificate is to be certified until Jan  3 20:16:04 2038 GMT (9999 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

В общем, я должен вручную нажать следующие клавиши:

ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
ENTER
y
ENTER
y
ENTER

По сути, я просто принимаю все ответы по умолчанию и говорю «да» на последние два вопроса. Есть ли какие-либо -forceили -quietфлаги или что-то, с чем я могу использовать build-key? Если нет, есть ли какие-нибудь трюки со скриптами или bash, которые я могу использовать, чтобы просто делать это каждый раз? Я не могу найти что-либо на страницах руководства по этому поводу.

Если вы посмотрите на источник build-key, вы обнаружите, что он звонит pkitool. Я написал обертку, чтобы связать ключи cilent и соответствующие файлы конфигурации openvpn в tarball, который я затем мог бы дать своим пользователям:

#!/bin/bash

client=$1

if [ x$client = x ]; then
    echo "Usage: $0 clientname"
    exit 1
fi

if [ ! -e keys/$client.key ]; then
    echo "Generating keys..."
    . vars
    ./pkitool $client
    echo "...keys generated." 
fi

tarball=./keys/$client.tgz

if [ ! -e $tarball ]; then
    echo "Creating tarball..."
    tmpdir=/tmp/client-tar.$$
    mkdir $tmpdir
    cp company.ovpn $tmpdir/company.ovpn
    cp keys/ca.crt $tmpdir 
    cp keys/$client.key $tmpdir/client.key
    cp keys/$client.crt $tmpdir/client.crt
    tar -C $tmpdir -czvf $tarball .
    rm -rf $tmpdir
    echo "...tarball created" 
else
    echo "Nothing to do, so nothing done. (keys/$client.tgz already exists)" 
fi

попробуйте --batch флаг

./build-key --batch client1

Дело в том, что приходит на ум быстрый является expect; это позволяет вам автоматизировать эти виды взаимодействий командной строки.

Новая версия EasyRSA сейчас представляет собой единый двоичный файл. Чтобы автоматизировать создание клиентского ключа, теперь вы можете использовать файл "vars" (просто поместите его в тот же каталог, что и бинарный файл easyrsa):

if [ -z "$EASYRSA_CALLER" ]; then
    echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
    echo "This is no longer necessary and is disallowed. See the section called" >&2
    echo "'How to use this file' near the top comments for more details." >&2
    return 1
fi

set_var EASYRSA        "$PWD"
set_var EASYRSA_OPENSSL        "openssl"
set_var EASYRSA_PKI            "$EASYRSA/pki"
set_var EASYRSA_DN     "org"

set_var EASYRSA_REQ_COUNTRY    "Country"
set_var EASYRSA_REQ_PROVINCE   "Province"
set_var EASYRSA_REQ_CITY       "City"
set_var EASYRSA_REQ_ORG        "Org Ltd"
set_var EASYRSA_REQ_EMAIL      "vpn@example.com"
set_var EASYRSA_REQ_OU         "Infrastructure"

set_var EASYRSA_KEY_SIZE       2048

set_var EASYRSA_ALGO           rsa

set_var EASYRSA_CA_EXPIRE      3650
set_var EASYRSA_CERT_EXPIRE    365
set_var EASYRSA_CRL_DAYS       180

set_var EASYRSA_TEMP_FILE      "$EASYRSA_PKI/extensions.temp"

и использовать бинарный файл EasyRSA:

./easyrsa build-client-full client1 nopass

У меня такая же проблема.

Решение, которое я нашел, было:

echo -en "\ n \ n \ n \ n \ n \ n \ n \ ny \ ny \ n" | ./build-key client1

Это похоже на то, что я использую. Надеюсь, это кому-нибудь поможет, мне понадобились часы, чтобы понять это. Убедитесь, что вы выполняете в каталоге easy-rsa, и не забудьте указать источник ./vars

(echo -en "\n\n\n\n\n\n\n\n"; sleep 1; echo -en "\n"; sleep 1; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n") | ./build-key $key_id 

Я сделал обертку наподобие pjz, но собрав все необходимые файлы в один файл .ovpn, который можно использовать напрямую

#! / Bin / Баш
cd /etc/openvpn/easy-rsa/2.0
клиент = $ 1

if [x $ client = x]; тогда
    echo "Использование: $ 0 clientname"
    выход 1
фи

если [ ! -e keys / $ client.key]; тогда
    echo "Генерация ключей ..."
    , вары
    ./pkitool $ client
    echo "... ключи сгенерированы."
фи

расслоение =. / ключи / $ client.ovpn

если [ ! -e $ bundle]; тогда
    echo "Создание пакета ..."
    кошачьи ключи / template.ovpn >> $ bundle
    echo '' >> $ bundle
    cat keys / ca.crt >> $ bundle
    echo '' >> $ bundle
    echo '' >> $ bundle
    echo '' >> $ bundle
    awk '/ BEGIN CERTIFICATE /, 0' keys / $ client.crt >> $ bundle
    echo '' >> $ bundle
    echo '' >> $ bundle
    echo '' >> $ bundle
    ключи cat / $ client.key >> $ bundle
    echo '' >> $ bundle
    echo '' >> $ bundle
    echo "... пучок создан"
еще
    echo "Ничего не делать, поэтому ничего не сделано. (keys / $ client.ovpn уже существует)"
фи

Я только что попытался сделать то же самое, генерируя пользователей openvpn молча на коробке FreeBSD.

Это привело к новому файлу, метко названному ./build-key-quiet

#!/bin/sh

# Make a certificate/private key pair using a locally generated
# root certificate.
# JP - automating my time away

cd /root/openvpn

client=$1

if [ x$client = x ];
    then
    echo "Usage: $0 clientname"
    exit 1
fi

if [ ! -e keys/$client.key ];
  then
    echo "Generating keys..."
    . ./vars
    ./pkitool $client
    echo "Great Success ...keys generated."
fi

echo 'Generating ovpn Files'
cd /root/clients
./make-client-config.sh $client
rm -rf /tmp/*.ovpn
cp /root/clients/files/$client.ovpn /tmp/
chmod 777 /root/clients/files/*.ovpn

echo "cleaning up /tmp/ of old ovpn files..."
echo "OVPN file generated and copied into /tmp/$client.ovpn"

(echo -en "\n\n\n\n\n\n\n\n"; sleep 1; echo -en "\n"; sleep 1; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n"; sleep 3; echo -en "yes"; echo -en "\n") | ./build-key $key_id

просто отредактируйте файл ключа сборки и удалите --interactопцию самый простой метод, который я знаю