Início / ubuntu / Perguntas / 1546455
Accepted
lensboard
Asked: 2025-04-25 07:01:08 +0800 CST

Como posso automatizar o fornecimento de uma senha para ./easyrsa gen-req no Ubuntu 24.04?

  • 772

Pergunta original:

Passei horas lendo o manual e procurando por essa resposta e todas as soluções estão desatualizadas ou não funcionam.

Estou usando o Ubuntu 24.04.2 LTS

Quero executar este comando em um script bash e fornecer a senha em um arquivo ou variável com antecedência, sem intervenção do usuário:

./easyrsa gen-req nome_do_cliente

Se você tiver uma resposta que funcione hoje, ficarei grato.

Informações sobre a versão do EasyRSA Versão: 3.1.7

Documentação/Manual

GitHub

openvpn

2 respostas

  1. O Easy RSA é essencialmente um wrapper para openssl, então procure como evitar solicitações de senha paraopenssl . Como alguns usuários experientes observaram naquela postagem de Superusuário, a opção para definir uma senha para um arquivo de saída é --passout, e esta é uma das opções globais aceitas pelo easyrsascript.

    Então tente:

    ./easyrsa --passout=pass:abc gen-req client-name

    Onde abcestá a senha?

    • 3
  2. Best Answer

    A solução verificada

    Mudei de gen-reqpara build-client-fullpara permitir a automatização da criação completa do cliente em um único comando, sem a necessidade de assinar a solicitação. A --batchopção elimina a solicitação do nome comum como entrada e usa o nome de entrada como nome comum. O build-client-fullcomando também cria um arquivo embutido localizado em /etc/openvpn/easy-rsa/pki/inline/que contém o certificado, a chave e a CA.

    Caso contrário, se não estiver usando a --batchopção de usar um nome inserido como Nome Comum (CN) no EasyRSA, você precisará modificar o arquivo vars e usar o --req-cnsinalizador ao gerar a solicitação de certificado. O set_var EASYRSA_REQ_CN "your_common_name"comando no arquivo vars definirá o CN padrão, e o sinalizador --req-cn permite substituí-lo para uma solicitação específica, como ao gerar um certificado de servidor ou cliente.

    Esses dois comandos foram verificados para funcionar em uma configuração OpenVPN ativa. Um deles usa um arquivo como opção e o outro usa uma senha embutida:

    root@ubuntu:/etc/openvpn/easy-rsa# ./easyrsa --batch --passout=file:passfile build-client-full client_name
root@ubuntu:/etc/openvpn/easy-rsa# ./easyrsa --batch --passout=pass:password build-client-full client_name

    Nota: Você deve estar no diretório /etc/openvpn/easy-rsa/, ou onde quer que o easy-rsa esteja localizado para que os comandos funcionem.

    Aqui está a saída sem intervenção do usuário:

    Notice
------
Private-Key and Public-Certificate-Request files created.
Your files are:
* req: /etc/openvpn/easy-rsa/pki/reqs/client_name.req
* key: /etc/openvpn/easy-rsa/pki/private/client_name.key 

Using configuration from /etc/openvpn/easy-rsa/pki/openssl-easyrsa.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName            :ASN.1 12:'client_name'
Certificate is to be certified until Oct 22 14:36:17 2025 GMT (180 days)

Write out database with 1 new entries
Database updated

Notice
------
Certificate created at:
* /etc/openvpn/easy-rsa/pki/issued/client_name.crt

Notice
------
Inline file created:
* /etc/openvpn/easy-rsa/pki/inline/client_name.inline
    • 3

relate perguntas