EasyRSA eigene ED25519 CA

Die CA und seine PKI sollte man airgappen also z.B. auf einem alten Laptop machen:

root@ca:~# apt install easy-rsa

Aktuell installiert das 3.2.5 was schon auto_san kann.

Danach

root@ca:~# make-cadir ca.domain.tld

Vars Vorlage

Ich nutze hier

set_var EASYRSA_DN              "org"
set_var EASYRSA_REQ_COUNTRY     "DE"
set_var EASYRSA_REQ_PROVINCE    "Saxony"
set_var EASYRSA_REQ_CITY        "Chemnitz"
set_var EASYRSA_REQ_ORG         "SuperCorp"
set_var EASYRSA_REQ_EMAIL       "ca@domain.tld"
set_var EASYRSA_REQ_OU          "SuperCorp CA"
set_var EASYRSA_ALGO            ed
set_var EASYRSA_CURVE           ed25519
set_var EASYRSA_CA_EXPIRE       3650
set_var EASYRSA_CERT_EXPIRE     1825
set_var EASYRSA_RAND_SN         "yes"
set_var EASYRSA_AUTO_SAN        1
set_var EASYRSA_DIGEST          "sha512"

AutoSAN ist super praktisch, das vergisst man ständig :D

PKI

root@ca:~/ca.domain.tld# ./easyrsa init-pki

CA

root@ca:~/ca.domain.tld# ./easyrsa build-ca

Sicheres Passwort wählen!!

Werte kann man alle von vars übernehmen, für den Common name nehm ich einfach ca.domain.tld

Server Cert mit allem drum und dran

./easyrsa --subject-alt-name="IP:127.0.0.1,IP:127.0.1.1,DNS:localhost,DNS:db.domain.tld" build-server-full db.domain.tld nopass

Das DNS: könnte man mittlerweile weglassen macht auto_san automatisch

Client Cert

Eigentlich 1:1 wie in kleineren CAs

./easyrsa build-client-full client.domain.tld nopass

Verteilen (Debian)

wie in 020-CA:

cp ca.crt /usr/local/share/ca-certificates/ca.domain.tld.crt
update-ca-certificates --fresh