d easy-rsa ../
cd 2.0/
編輯 vars
vi vars
export KEY_SIZE=2048
export KEY_COUNTRY="CN"
export KEY_PROVINCE="SH"
export KEY_CITY="SH"
export KEY_ORG="SHCL"
export KEY_EMAIL="[email protected]"
export KEY_OU="DevOps"
保存推遲後給予x權限
#chmod +x vars
#source ./vars
#./clean-all #清除文件
#./build-ca server ##生成服務端CA
#./build-key-server server #生成服務端證書
#./build-key client1 ##生成客戶端證書
#./build-dh ##生成迪菲·赫爾曼交換密鑰
# /usr/local/open***/sbin/open*** --genkey --secret keys/ta.key ##生成TLS-auth密鑰,用戶名密碼認證時需要
####以上命令只需要默認回車,選擇(y|n)。即可生成如下證書文件###
服務端&&客戶端所有證書就就生成了。
吊銷客戶端證書:
#cd /opt/open***/easy-rsa/2.0/
#source vars #全局變量
#./revoke-full client #會在keys目錄下生成一個crl.pem文件
#cp keys/crl.pem /opt/open***/keys/ #每次吊銷一個客戶端證書,都要重新拷貝覆蓋crl.pem文件
vim /opt/open***/server.conf #在最後添加:crl-verify keys/crl.pem
/etc/init.d/open*** restart