即食手册:使用Easy-RSA 3.0软件包生成证书。
前言
Easy-RSA是一款简单的证书签发工具。
环境
Ubuntu 18.04系统可能需要添加19.04的软件源,才能在官方仓库下载Easy-RSA的3.0版本。添加方法:在/etc/apt/source.list添加相应的仓库即可
开始签发
首先查看easyrsa是否被安装在系统环境变量中,即直接在终端输入easy-rsa或easyrsa,如果提示“未找到命令”相关的错误,则需要将整个easy-rsa目录下的所有文件复制到将要存储证书的目录。
进入证书存储目录:
cd /path-to-your-dir/
(按需)复制easy-rsa文件,环境变量中有easy-rsa的也需复制除了主程序之外的所有文件:
cp -r /usr/share/easy-rsa/* ./
证书信息修改
修改vars.example并保存为vars
里面可编辑密钥长度、CA信息。稍微懂点英文就看得懂,这里就不再赘述了。
初始化pki
执行:
./easyrsa init-pki
建立CA
./easyrsa build-ca nopass
nopass参数表示不使用密码保护CA证书,可删去以增强安全性。
建立证书申请
./easyrsa gen-req CommonName1 nopass ./easyrsa gen-req CommonName2 nopass ./easyrsa gen-req CommonName3 nopass
证书的申请无需区分服务器还是客户端。
签发证书
./easyrsa sign-req server CommonName1 ./easyrsa sign-req client CommonName2
证书的签发需要区分服务器和客户端。
生成DH
./easyrsa gen-dh
OpenVPN的TA生成
openvpn --genkey --secret ta.key
自此证书生成完成。证书在./pki/issued中,密钥在./pki/private中