从早期版本升级到Easy-RSA 3

有一些从版本3开始的更改,这是从2.x版本升级到Easy-RSA 3的需要注意的重要事项。要更好地了解版本3，请参阅自述文件。

重要变更清单

• 默认情况下不再包含nsCertType扩展名。使用 “Netscape”这样的属性,在上游已被弃用，其用法是 不鼓励的。如果要启用，请在变量中配置”EASYRSA_NS_SUPPORT” 这种传统行为。

  值得注意的是，这对于依赖于 --ns-cert-type指令。让OpenVPN使用首选 –remote-cert-tls选项，或启用旧版NS扩展。

• 默认请求主题（或DN，专有名称）仅包含 commonName。这更适合不需要在证书中包含有关国家/地区/城市/组织/ OU的信息的VPN和环境。如果您要启用旧版行为，请在vars中使用”EASYRSA_DN”进行配置。

• 3.0版本缺少PKCS＃11（智能卡/令牌）支持。这是预期的 在将来的版本中得到支持，以针对每个平台的需求。

• 为所有受支持的命令添加了-utf8选项。这应该是 向后兼容ASCII字符串。

• 默认的私钥加密已从3des更改为aes256。

一些新概念

与先前的v2系列相比，Easy-RSA 3具有一些新概念。

###请求导入签名工作流程

v3现在旨在支持在目标系统上生成的密钥对，其中 将使用它们，从而提高了安全性，因为不需要传输密钥 主机之间。在单个PKI中生成所有内容的旧工作流程是 仍然受支持。

将Easy-RSA用作CA时，建议的工作流程是导入请求， 对它们签名，然后返回已颁发的和CA证书。每个请求系统都可以使用 Easy-RSA，无需CA即可生成密钥对和请求。

###”组织”样式的DN灵活性

在”组织” DN模式下使用Easy-RSA时，不再需要匹配 一些字段值。这提高了灵活性，并使远程操作更容易 因为请求者不需要事先知道CA的值。

以前在v2中，”国家/地区”，”州”和”组织”值必须全部匹配或 请求无法签名。如果您想要旧的行为，可以更改 需要使用OpenSSL配置，或者在签名时仅查看DN。