Автоматизация получения сертефикатов OpenVPN

Рубить бабло твой друг хочет, а писать биллинг и дружить его с обвязкой к какому-нибудь easy-rsa он не хочет. И тут на помощь приходишь ты, призвав волонтёров из интернета. Класс.

Ну тоже верно) Попросил помочь просто, не отказывать же)

Как сгенерировать сертификаты именно на месяц, чтобы после того, как он выбрал тариф, счет списался.

при генерации вообще-то задаётся продолжительность действия сертификата. Курим easy-rsa и openssl.

А вообще тебе нужен Certification Authority. Например можно потыкать EJBCA - в нём есть консольная морда которую можно куда угодно прикрутить, есть Web Service API(хз насколько богатый, не щупал его)

Спасибо за совет, посмотрю.

Насколько я понимаю надо объединить 10 серверов в сеть и сделать им 1 Certification Authority, чтобы он раздавал сертификаты пользователям, правильно?

Да. Сертификат будет запрашиваться у Certificate Authority(далее CA) и отдаваться пользователю. На серверах будут установлены один и тот же CA-сертификат и уникальные серверные сертификаты для каждого сервера.

Так как CA одинаковые, то каждый сервер пример любого из клиентов(так как их сертификаты подписаны этим CA). Списки отзыва можно автоматически обновлять скачивая с сервера CA, благо EJBCA это позволяет.

Первоначальная настройка EJBCA правда может оказаться делом непростым, но к нему есть пусть и достаточно длинная, но очень подробная официальная документация.

Спасибо за подробный ответ! Будет изучать, как это потом к сайту только запилить..Хотя, если у EJBCA есть API, то не думаю, что будут проблемы..

Документации действительно много, изучил, довольно интересно, так же проштудировал всю документацию по eary-rsa и openssl. EJBCA действительно оказалось интересной, есть только одно но, которое Вы и упомянули, первоначальная настройка дело муторное, не одной статью на связку EJBCA и openvpn не нашел, хорошо хоть документация подробная. Прочитав все это мне пришла идея, что openssl так же можно реализовать CA и насколько я понял отсюда прикрутить ее к личному кабинету не сложно, не могли бы прокомментировать или может я что-то не понял?

Прочитав все это мне пришла идея, что openssl так же можно реализовать CA и насколько я понял отсюда прикрутить ее к личному кабинету не сложно, не могли бы прокомментировать или может я что-то не понял?

Супер, только ты как ты собрался используя голый openssl генерить сертификаты и централизованно их раздавать? На каждый сервер будешь класть приватный ключ CA? Безопасность такого решения - ни к чёрту.

А если приватный ключ CA будет на одном сервере - как ты запросы слать будешь на генерацию новых сертификатов.

Не, можно конечно генерить CSR, слать по SSH на сервер с приватным ключом CA, а потом обратно отдавать сертификат и его приватный ключ. Гланды тоже можно через жопу удалять, ага.

не одной статью на связку EJBCA и openvpn не нашел

Так её и не будет готовой. Кури как использовать web service api и пили связку сам. Там нужен как-минимум шелл-скрипт, который по крону будет обновлять список CRL. И собственно связка личного кабинета пользователя и Web service api самого EJBCA. Так как, как я понял, личный кабинет самописный, то соответственно и интеграцию с EJBCA нужно тоже писать вам самим...

Что верно, то верно, ладно, будем пробовать, голый openssl тут конечно не подойдет, безопасность тут тоже согласен...Буду тогда пытаться связать EJBCA и openvpn, а точнее получается api EJBCA и личный кабинет клиента, чтобы потом оттуда взять уже сертификат и скопировать в конфиги GUI. Спасибо за совет, концепцию я понял, буду теперь реализовывать..