要產生自簽憑證,可以透過openssl command的方式產生ca, 用ca簽發憑證,不過步驟繁瑣,透過EasyRSA可以快速地完成
https://github.com/OpenVPN/easy-rsa
目前最新版是3.0.7,網路上有些介紹使用v2版本,此處介紹v3版本
解開EasyRSA-3.0.7.tgz
需要修改的是vars檔案,先將vars.example改成vars
裡面的設定大部分使用預設值即可,以下跟機構相關資訊一般會修改,憑證有效時間也可以修改,預設CA是3560天。
set_var EASYRSA_REQ_COUNTRY “US”
set_var EASYRSA_REQ_PROVINCE “California”
set_var EASYRSA_REQ_CITY “San Francisco”
set_var EASYRSA_REQ_ORG “Copyleft Certificate Co”
set_var EASYRSA_REQ_EMAIL “me@example.net”
set_var EASYRSA_REQ_OU “My Organizational Unit”
設定完後首先初始化pki
./easyrsa init-pki
建立CA
./easyrsa build-ca
產生server csr & key, client csr & key
./easyrsa gen-req myserver nopass
./easyrsa gen-req myclient nopass
簽發憑證
./easyrsa sign-req server myserver
./easyrsa sign-req client myclient
產生Diffie-Hellman (DH) parameters file
./easyrsa gen-dh
相關檔案會存放在 pki 、pki/issued、pki/private 目錄
openvpn的ta.key
openvpn –genkey –secret ta.key