Автоматическая генерация сертификатов для vpn нужд, как?

Question

[s_pyanov]

Доброго времени суток всем.

Суть вопроса:
Есть openvpn сервер, на нем сгенерированы все нужные сертификаты, ключи, dh и т.д. и т.п. Есть полторы сотни компьютеров(может измениться в любое время в сторону увеличения) с которыми нужно установить соединение.

Вопрос: Как сгенерировать и подписать такое кол-во сертификатов автоматически? Понимаю что нужно использовать цикл, но вот как передать параметры в easy-rsa что-бы он не отрабатывал в интерактивном режиме(останавливает мои циклы с ожиданием ответа или имени или пароля)? Может быть нужно использовать напрямую openssl без easy-rsa? И вообще в чем мне лучше пытаться решить эту задачу(написание скрипта) - в bash или использовать к примеру python?

P.S. Создавать запрос с каждой машины не нужно! Нужно все сделать на компьютере с удостоверяющим центром и позже распространить на компьютеры клиентов.

Answer 1

[Станислав Макаров]

Вы должны передать openssl все необходимые данные в ком. строке, например, ключ -subj и ключи -passin и -passout для указания паролей для файлов приватных ключей. Все остальное, если оно у вас не изменяется (а у вас видимо будет меняться только субъект), можно спокойно указать в openssl.conf, в easy-rsa есть пример конфига. Указать другое имя конфиг файла можно для любой из openssl команд ключом -config.
А, да, еще почитайте про опцию -batch https://www.openssl.org/docs/manmaster/apps/ca.html , возможно она тоже пригодится.