使用Easy-RSA 3.0 签发OpenVPN证书

即食手册:使用Easy-RSA 3.0软件包生成证书。

前言

Easy-RSA是一款简单的证书签发工具。

环境

Ubuntu 18.04系统可能需要添加19.04的软件源,才能在官方仓库下载Easy-RSA的3.0版本。添加方法:在/etc/apt/source.list添加相应的仓库即可

开始签发

首先查看easyrsa是否被安装在系统环境变量中,即直接在终端输入easy-rsaeasyrsa,如果提示“未找到命令”相关的错误,则需要将整个easy-rsa目录下的所有文件复制到将要存储证书的目录。

进入证书存储目录:

cd /path-to-your-dir/

(按需)复制easy-rsa文件,环境变量中有easy-rsa的也需复制除了主程序之外的所有文件:

cp -r /usr/share/easy-rsa/* ./

证书信息修改

修改vars.example并保存为vars

里面可编辑密钥长度、CA信息。稍微懂点英文就看得懂,这里就不再赘述了。

初始化pki

执行:

./easyrsa init-pki

建立CA

./easyrsa build-ca nopass

nopass参数表示不使用密码保护CA证书,可删去以增强安全性。

建立证书申请

./easyrsa gen-req CommonName1 nopass
./easyrsa gen-req CommonName2 nopass
./easyrsa gen-req CommonName3 nopass

证书的申请无需区分服务器还是客户端。

签发证书

./easyrsa sign-req server CommonName1
./easyrsa sign-req client CommonName2

证书的签发需要区分服务器和客户端。

生成DH

./easyrsa gen-dh

OpenVPN的TA生成

openvpn --genkey --secret ta.key

自此证书生成完成。证书在./pki/issued中,密钥在./pki/private

发表评论