Linux 下使用easy-rsa快速制作证书
下载配置
- 下载:
yum install easy-rsa -y
- 将easy-eas拷贝到工作目录(自定义):
cp -r /usr/share/easy-rsa/3.0.3/* /etc/openvpn/easy-rsa/
- 拷贝vars文件(easy-esa 3.*后的版本没有默认vars文件,好像改成了vars.example):
cp -p /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/openvpn/easy-rsa/vars
- 在vars里添加如下配置(直接添加就好了):
|
|
制作流程
如果openvpn client的配置文件中使用了ns-cert-type,server则要打开此选项,制作server证书时会将一些信息写入证书,如不打开此选项,则openvpn client会提示:server certificate verify fail set_var EASYRSA_NS_SUPPORT “yes”
创建两个工作目录(任意),分别代表server端和client端,本示例两工作目录分别为:server、client。以下顺序也是制作证书的流程,在工作目录下按以下顺序操作或使用命令:
server端
进入server目录,初始化easy-rsa环境(拷贝 easy-rsa/3.0.3/*
和vars.example
到本目录)
-
./easyrsa init-pki
初始化,会在当前目录创建PKI目录,用于存储一些中间变量及最终生成的证书 -
./easyrsa build-ca
创建根证书,首先会提示设置密码,用于ca对之后生成的server和client证书签名时使用,然后会提示设置Country Name,State or Province Name,Locality Name,Organization Name,Organizational Unit Name,Common Name,Email Address,可以键入回车使用默认的,也可以手动更改 -
./easyrsa gen-req server nopass
创建server端证书和private key,nopass表示不加密private key,然后会提示设置Country Name,State or Province Name,Locality Name,Organization Name,Organizational Unit Name,Common Name,Email Address,可以键入回车使用默认的,也可以手动更改 -
./easyrsa sign server server
给server端证书做签名,首先是对一些信息的确认,可以输入yes,然后输入build-ca时设置的那个密码 -
./easyrsa gen-dh
创建Diffie-Hellman,时间会有点长,耐心等待
client端
进入client目录,初始化easy-rsa环境(拷贝 easy-rsa/3.0.3/* 和vars.example 到本目录)
-
./easyrsa gen-req clientname nopass
创建client端证书和private key,clientname为自定义字符串,nopass表示不加密private key,然后会提示设置Country Name,State or Province Name,Locality Name,Organization Name,Organizational Unit Name,Common Name,Email Address,可以键入回车使用默认的,也可以手动更改 -
./easyrsa import-req client.req所在路径 clientname
回到server目录,准备签名。client.req路径为上步生成的client.req的绝对路径,clientname为上步的clientname -
./easyrsa sign client clientname
给client端证书做签名,首先是对一些信息的确认,输入yes然后输入build-ca时设置的那个密码便成功
注意: ca、server和client的Common Name最好不要设置为一样,否则openvpn连接时可能会有问题
至此,server和client端证书已制作完毕,文件结构如下:
openvpn server端:
server/pki/ca.crt
<制作server证书的文件夹>server/pki/private/server.key
<制作server证书的文件夹>server/pki/issued/server.crt
<制作server证书的文件夹>server/pki/dh.pem
openvpn client端:
client/pki/ca.crt
<制作server证书的文件夹>client/pki/issued/client.crt
<制作server证书的文件夹>client/pki/private/client.key
<制作client证书的文件夹>