Große Menge VPN-Keys automatisiert erstellen

[mrserious]

Hallo zusammen,

ich nutze openVPN, bisher habe ich immer alle Keys händisch mit easyRSA erstellt. Es waren nie mehr als ein paar Dutzend, das war also kein Problem.
Nun möchte ich aber einige hundert Clients anlegen. Die Nutzernamen habe ich als Textdatei da, ich könnte also eine For-Schleife nach folgendem Muster bauen:

Code: Alles auswählen

for i in nutzer1 nutzer2 nutzerN
do
  ./build-key-pkcs12 $i
done

Allerdings muss ich dann beim Anlegen jedes Zertifikats dennoch zehn Mal Enter drücken...
Kann man das beschleunigen? Was empfehlt ihr mir? Ist easyRSA dieser Aufgabe überhaupt noch gewachsen?

Grüße

[DeletedUserReAsG]

Ich kenne dieses easyRSA nicht, aber zwei Sachen fallen mir ein: einerseits gibt es expect, das Tastendrücke simulieren kann, andererseits gibt es sicher auch besser automatisierbare Lösungen, wenn da tatsächlich nur RSA-Sachen rausfallen sollen.

[mrserious]

Offen gestanden weiß ich garnicht, wie man einen .p12-Schlüssel auf "herkömmliche" Weise erstellt.
Kann man das auch mit einem einzelnen Befehl machen, sodass keine weiteren Eingaben erforderlich sind?
Denn im Grunde macht easy-RSA nur Abfragen, die ich aber auch nicht verändere, sondern nur "durchnicke".

[DeletedUserReAsG]

Wenn’s dich interessiert, könntest du mal file drauf loslassen. Die Endung sagt traditionsgemäß nix aus, und ich kenne das Programm nicht. Wie gesagt, expect würde den Job tun, sofern sich in der Doku nix zu automatisierter Erstellung oder Scriptbarkeit finden lässt.

[mrserious]

Gegenüber dem herkömmlichen Erstellen mit OpenSSL ist easyRSA im Grunde schon gescripted und kürzt den Weg des Erstellens von Zertifikaten ab.
Denke nur, es wird nicht so viele Leute geben, die derart viele Zertifikate mit ner Opensource-Lösung wie easyRSA erstellen.

[eggy]

Die Sachen aus easy-rsa sind bereits sh-Scripte, die entsprechend automatisiert werden können. Schau mal welche Umgebungsvariablen gesetzt sein müssen, was aus den Configs genommen wird oder welche Schalter in den einzelen Scripten gesetzt sind. build-key-... ruft pki-tool mit --interactive auf, wahrscheinlich willst Du pki-tool mit --batch, einfach mal in den Code von pki-tool reinsehen, aus den Kommentaren solltest Du schlau werden

[mrserious]

Oh Mensch...
Manchmal ist die Idee so einfach...
Ich schaue mal rein, danke für den Tipp!

[MSfree]

Gegenüber dem herkömmlichen Erstellen mit OpenSSL ist easyRSA im Grunde schon gescripted und kürzt den Weg des Erstellens von Zertifikaten ab.
Denke nur, es wird nicht so viele Leute geben, die derart viele Zertifikate mit ner Opensource-Lösung wie easyRSA erstellen.

Schau dir mal die EasyRSA-Skripte im Editor an und suche die Stellen, wo opensll aufgerufen wird. Ich meine, mich erinnern zu können, daß, wenn man opensll den Zusatzparameter -batch mitgibt, die nervende Fragerei ein Ende hat.

[mrserious]

Guten Morgen,

Tatsache!
Die Fragerei habe ich dadurch weg bekommen.
Leider werde ich immernoch nach nem Passwort für jeden Key gefragt (was jetzt kein Drama wäre), ich werd' mal versuchen, das auch noch raus zu bekommen.

Grüße

[catdog2]

Ich kenne dieses easyRSA nicht

EasyRSA ist im wesentlichen halt ein paar Shellskripte um das umständliche openssl Kommando um eine SSL CA zu bauen. Das Projekt gehört mehr oder weniger zu openvpn und ist ein Stück weit auf dessen Bedürfnisse zugeschnitten.

Leider werde ich immernoch nach nem Passwort für jeden Key gefragt (was jetzt kein Drama wäre), ich werd' mal versuchen, das auch noch raus zu bekommen.

Kriegt man sicher auch noch irgendwie weg konfiguriert ja, zu Not halt den openssl Aufruf im Skript anpassen.

[mrserious]

Ja, bin grad schon am suchen... versteckt sich aber gut die Option...
Habe eigentlich alle "--pass" rausgefischt... Funktioniert aber noch net...