IT火车1.下载easyrsa:
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.7/EasyRSA-3.1.7.tgz
2.解压easyrsa工具包
tar -zxvf EasyRSA-3.1.7.tgz
3.拷贝easyrsa工具包
cp EasyRSA-3.1.7 AICOM
//一个目录代表一个CA,可自定义目录,不要在原目录上操作,后面需要生成其他CA的时候,同样复制,然后在复制的目录下操作即可
4.在AICOM目录中生成vars文件
cp -p vars.example vars
5.在vars的末尾增加如下内容
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Shanghai"
set_var EASYRSA_REQ_CITY "Shanghai"
set_var EASYRSA_REQ_ORG "UFO"
set_var EASYRSA_REQ_EMAIL "UFO@ufo.com.cn"
set_var EASYRSA_REQ_OU "UFO"
set_var EASYRSA_NO_PASS 1
set_var EASYRSA_CA_EXPIRE 3650
set_var EASYRSA_CERT_EXPIRE 1825
其中CA及证书有效期比较重要
6.AICOM目录下初始化证书pki目录
./easyrsa init-pki
7.创建CA
./easyrsa build-ca
8.生成服务器证书【server可以换成server名称】
./easyrsa build-server-full server
9.生成 Diffie Hellman parameters 【非必要步骤,不需要就不生成】
./easyrsa gen-dh
10.生成客户端证书【client可以换成客户端名称】
./easyrsa build-client-full client
生成好的证书都在AICOM/pki目录下,可以看到CA、server、client证书,复制到其他地方使用即可
上述步骤生成的自签名证书已经足够使用,下面是一些额外的使用场景
11.对IP颁发自签名https证书
./easyrsa --subject-alt-name="IP:xx.xx.xx.xx" build-server-full server nopass
12.对域名颁发自签名证书,带*为泛域名证书,可自动匹配
./easyrsa --req-cn="*.aicom.com.cn" build-server-full xxx.xxx.cn nopass
最新评论