下载工具

  1. git clone https://github.com/OpenVPN/easy-rsa.git

生成CA证书

  1. cd easy-rsa/easyrsa3
  2. rm -f vars.example
  3. echo 'set_var EASYRSA_REQ_COUNTRY "CN"' >> vars.example
  4. echo 'set_var EASYRSA_REQ_PROVINCE "GuangDong"' >> vars.example
  5. echo 'set_var EASYRSA_REQ_CITY "ShenZhen"' >> vars.example
  6. echo 'set_var EASYRSA_REQ_ORG "yyds"' >> vars.example
  7. echo 'set_var EASYRSA_REQ_EMAIL "yyds@yyds.local"' >> vars.example
  8. echo 'set_var EASYRSA_REQ_OU "DevOps"' >> vars.example
  9. echo 'set_var EASYRSA_REQ_CN "ca.yyds.local"' >> vars.example
  10. echo "set_var EASYRSA_CA_EXPIRE 3650" >> vars.example
  11. echo "set_var EASYRSA_CERT_EXPIRE 3650" >> vars.example

生成ca服务器端证书和秘钥文件

  1. ./easyrsa init-pki
  2. ./easyrsa build-ca
  3. # 需要一个发送证书请求时的密码
  4. # 剩下的一路回车

生成服务端证书与秘钥文件

  1. ./easyrsa gen-req server-ssl nopass
  2. ./easyrsa sign server server-ssl
  3. # 需要输入yes 和密码

创建Diffie-Hellman证书,该证书主要作用是确保共享KEY安全穿越不安全网络:

  1. ./easyrsa gen-dh

创建客户端证书

  1. ./easyrsa gen-req client-ssl nopass
  2. ./easyrsa sign client client-ssl