將憑證匯入至 Secrets Manager

下列程序使用 OpenVPN 簡易-rsa 來產生 VPN 伺服器及用戶端憑證，然後將這些憑證匯入至 Secrets Manager。 如需相關資訊，請參閱 Easy-RSA 3 Quickstart README。

1. 將 Easy-RSA 3 儲存庫複製到本端資料夾:

   git clone https://github.com/OpenVPN/easy-rsa.git
   cd easy-rsa/easyrsa3
   

2. 建立「公開金鑰基礎架構 (PKI)」及「憑證管理中心 (CA)」:

   ./easyrsa init-pki
   ./easyrsa build-ca nopass
   

   檢查 CA 憑證是否產生於路徑 ./pki/ca.crt。 如 下一節 所述，將伺服器或用戶端憑證匯入Secrets Manager時，將需要用於簽署其他憑證的憑證作為中間憑證。

3. 產生 VPN 伺服器憑證:

   ./easyrsa build-server-full vpn-server.vpn.ibm.com nopass
   

   確認 VPN 伺服器公開金鑰產生於路徑 ./pki/issued/vpn-server.vpn.ibm.com.crt，且私密金鑰產生於路徑 ./pki/private/vpn-server.vpn.ibm.com.key。

4. 產生 VPN 用戶端憑證:

   ./easyrsa build-client-full client1.vpn.ibm.com nopass
   

   檢查是否在路徑 ./pki/issued/client1.vpn.ibm.com.crt 上產生 VPN 用戶端公開金鑰，以及是否在路徑 ./pki/private/client1.vpn.ibm.com.key 上產生私密金鑰。

5. 如果您需要建立更多 VPN 用戶端憑證，請重複步驟 4。

重要注意事項：

• 在前述範例中，VPN 伺服器及用戶端憑證由相同的 CA 簽署。 若要使用不同的 CA 來簽署用戶端憑證，請將 easyrsa3 資料夾複製到新路徑，並遵循步驟 2 及 4。

• 如果您已有來自其他 CA 的 VPN 伺服器憑證，請確定憑證具有延伸金鑰用法: TLS Web Client Authentication。 您可以使用下列指令，根據已編碼憑證檔的內容來檢查憑證資訊: cat YOUR-CERTIFICATE-FILE | openssl x509 -noout -text。

• 如果使用憑證作為 VPN 用戶端憑證來鑑別用戶端，則必須上傳 憑證檔 及 中繼憑證檔。 例如，如果您使用不同的用戶端憑證來鑑別不同的使用者，請確定這些憑證是由相同的 CA 所簽署，並確定您已將其中一個用戶端憑證 (僅限憑證檔 及 中繼憑證檔 ) 上傳至 Secrets Manager。

  您可以使用 CA 鏈將憑證 (中繼 CA 1、中繼 CA 2 及主要 CA) 組合成單一檔案，並上傳至中繼憑證檔案。 此外，請記住，您可以使用相同的 CA 離線建立多個用戶端憑證，而無需將憑證上傳至 Secrets Manager。

將 VPN 伺服器憑證匯入至 Secrets Manager

若要將 VPN 伺服器憑證匯入至 Secrets Manager，請遵循下列步驟:

1. 如果您還沒有 Secrets Manager 實例，請跳至 Secrets Manager 頁面。 然後，完成資訊並按一下 建立，以建立 Secrets Manager 實例。

   如需相關資訊，請參閱訂購 Secrets Manager 的憑證。

2. 在主控台中，按一下導覽功能表圖示 > 資源清單 > 安全性

3. 從服務清單中，選擇您的 Secrets Manager 實例。

4. 在秘密表中，按一下新增。

5. 按一下匯入的憑證，然後按一下下一步。

6. 按照以下步驟匯入證書：

   1. 加入名稱和說明，方便識別您的秘密。
   2. 選取要指定給秘密的秘密群組。
   3. 可選：新增標籤，以協助您在實例中搜尋類似的機密。
   4. 可選：將元資料加入您的秘密或秘密的特定版本。
   5. 按一下下一步，然後選擇匯入證書磁磚。
   6. 按一下瀏覽，然後選擇 ./pki/issued/vpn-server.vpn.ibm.com.crt 作為證書檔案。
   7. 按一下 瀏覽，並選取 ./pki/private/vpn-server.vpn.ibm.com.key 作為憑證的私密金鑰。
   8. 按一下 瀏覽 並選取 ./pki/ca.crt 作為中繼憑證。
   9. 按下一步。
   10. 檢視證書的詳細資訊，然後按一下新增。

如需相關資訊，請參閱 匯入現有憑證。

重要注意事項：

• 在此範例中，VPN 伺服器及用戶端憑證由相同的 CA 簽署，因此您只需要上傳 VPN 伺服器憑證。 您也必須使用憑證作為 VPN 伺服器憑證，並鑑別 VPN 用戶端。 如果 VPN 伺服器及用戶端憑證由不同的 CA 簽署，則必須個別上傳它們。

• 如果您在 Secrets Manager中更新憑證，則 VPN 伺服器不知道憑證更新。 您必須使用不同的 CRN 重新匯入憑證，然後使用新的憑證 CRN 更新 VPN 伺服器。

• 如果憑證用作 VPN 伺服器憑證，則必須上傳 憑證檔、私密金鑰檔及 中繼憑證檔。 如果使用憑證作為 VPN 用戶端憑證來鑑別用戶端，則必須上傳 憑證檔 及 中繼憑證檔。

  您可以使用 CA 鏈將憑證 (中繼 CA 1、中繼 CA 2 及主要 CA) 組合成單一檔案，並上傳至中繼憑證檔案。

使用 Secrets Manager 訂購公用憑證

您可以使用 Secrets Manager 來訂購公用 SSL/TLS 憑證作為 VPN 伺服器憑證。 因為公用 CA 主要憑證未儲存在 Secrets Manager中，Secrets Manager 只會儲存中繼憑證。 您需要從 Let's Encrypt 取得根憑證，儲存為 .pem 檔案。 您需要的兩個檔案位於 https://letsencrypt.org/certs/lets-encrypt-r3.pem 和 https://letsencrypt.org/certs/isrgrootx1.pem中。 為了方便起見，已連結這些檔案; 不過，基於安全理由，建議您下載自己的主要憑證並將其連結至檔案。 此外，當您下載並更新 VPN 用戶端設定檔時，請使用此主要憑證來取代用戶端設定檔中的 <ca> 區段。

如需 Let 's Encrypt 憑證鏈的相關資訊，請參閱 https://letsencrypt.org/certificates/。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

訂購的憑證是公用 SSL/TLS 憑證，且只能作為 VPN 伺服器憑證使用。 由於下列原因，您無法使用訂購的憑證來鑑別 VPN 用戶端:

• 任何人都可以從公用 CA 訂購新憑證。 然後，如果您使用公用 SSL/TLS 憑證來鑑別 VPN 用戶端，則他們可以通過鑑別。
• 您無法建立憑證撤銷清冊 (CRL) 來撤銷具有公用 CA 的 VPN 用戶端憑證。

您必須建立自己的 CA，並將 CA 憑證匯入至 Secrets Manager，以鑑別 VPN 用戶端。

使用專用憑證

您可以在 VPN 伺服器中使用 Secrets Manager 專用憑證。 在執行此動作時，請檢閱下列重要考量:

• CA 鏈中的所有 CA 都必須包含在 Secrets Manager 實例中。 此外，您必須在 Secrets Manager內建立主要 CA。 當您選取中間 CA 時，需要 下列選項，以確保在驗證 VPN 伺服器中專用憑證的 CA 鏈時可以找到每個 CA:

  • 在「類型」區段中，您必須選取 內部簽署。
  • 在類型部分，您必須在建立憑證機構時啟用編碼 URL 開關，才能在終端身分證書中編碼簽發憑證的 URL。 如果您在建立 CA 之後啟用 Encode URL 開關，它就無法運作。

• 專用憑證 CA 鏈中的 CA 數目上限為 11 (主要 CA 及最多 10 個中間 CA)。

• 在「憑證撤銷清冊」區段中，如果您想要使用專用憑證的 CA CRL，請同時啟用 CRL 建置 和 CRL 配送點 參數。 在一小時之後，應用程式不再信任已撤銷的憑證。

• 只有在您建立 VPN 伺服器時未上傳憑證撤銷清冊時，CA CRL 才會運作。 如果 VPN 伺服器的 CRL 已上傳，則您不需要啟用 CA CRL。

• 建立中間 CA 的範本時，在「憑證角色」區段中:

  • 如果建立的 CA 將簽署 VPN 伺服器的伺服器憑證，請選取 將憑證用於伺服器 勾選框。
  • 如果建立的 CA 將簽署 VPN 伺服器的用戶端憑證，請選取 將憑證用於用戶端 勾選框。
  • 選取 將憑證用於伺服器 和 將憑證用於用戶端 勾選框 (如果建立 CA 將同時簽署 VPN 伺服器的伺服器和用戶端憑證)。

• 在 Secrets Manager 範例中建立 CA 時，請確定每個 CA 在 CA 鏈中都有唯一的 Common name。

如需相關資訊，請參閱 Secrets Manager 說明文件中的 建立專用憑證。

尋找憑證 CRN

當您在使用使用者介面佈建期間配置用戶端至網站 VPN 伺服器的鑑別時，可以選擇指定 Secrets Manager 及 SSL 憑證或憑證的 CRN。 如果您無法檢視功能表中的 Secrets Manager，則可能想要執行此動作，這表示您沒有 Secrets Manager 實例的存取權。 請記住，如果您使用 API 來建立用戶端至網站 VPN 伺服器，則必須輸入 CRN。

若要取得 CRN，您必須具有存取 Secrets Manager 實例的權限。

若要尋找憑證的 CRN，請遵循下列步驟:

1. 在 IBM Cloud 主控台中，移至 導覽功能表 圖示 > 資源清單 **。
2. 按一下以展開 安全，然後選取您要尋找 CRN 的 Secrets Manager。
3. 選取憑證表格列中的任何位置，以開啟「憑證詳細資料」側邊畫面。 憑證 CRN 會列在側邊畫面中。