说明

easy_rsa是为了做PKI使用的。openvpn使用easy_rsa生成的CA证书，公钥和私钥来实现SSLVPN。

安装步骤

在GitHub上下载最新的easy-rsa, 我用的是easy-rsa-3.0.5.zip。

[root@instance-azku10wv ~]# ls
easy-rsa-3.0.5.zip

在root目录下创建openvpn目录, 并将easy-ras-3.0.5.zip拷贝到该目录下并解压

[root@instance-azku10wv ~]# mkdir openvpn
[root@instance-azku10wv ~]# cp easy-rsa-3.0.5.zip openvpn/
[root@instance-azku10wv ~]# unzip easy-rsa-3.0.5.zip
[root@instance-azku10wv ~]# mv easy-rsa-3.0.5 easy-rsa

配置/etc/openvpn/ 目录。

[root@instance-azku10wv ~]# mkdir -p /etc/openvpn/
[root@instance-azku10wv ~]# cp -a easy-rsa /etc/openvpn/

配置，编辑vars文件，根据自己环境配置

[root@instance-azku10wv ~]# cd /etc/openvpn/easy-rsa/easyrsa3
[root@instance-azku10wv easyrsa3]# cp vars.example vars
[root@instance-azku10wv easyrsa3]# vim vars
set_var EASYRSA_REQ_COUNTRY     "CN"
set_var EASYRSA_REQ_PROVINCE    "BEIJING"
set_var EASYRSA_REQ_CITY        "BEIJING"
set_var EASYRSA_REQ_ORG         "xxxx"
set_var EASYRSA_REQ_EMAIL       "mapengcheng02@xxx.com"
set_var EASYRSA_REQ_OU          "test-openvpn"

创建服务端证书及key.
进入/etc/openvpn/easy-rsa/easyrsa3/目录
初始化

[root@instance-azku10wv easyrsa3]# cd /etc/openvpn/easy-rsa/easyrsa3/
[root@instance-azku10wv easyrsa3]# ./easyrsa init-pki
 
Note: using Easy-RSA configuration from: ./vars
 
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
 
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/easyrsa3/pki

创建根证书

[root@instance-azku10wv easyrsa3]# ./easyrsa build-ca

ssl_vpn_01_001.png

创建服务器端证书

[root@instance-azku10wv easyrsa3]# ./easyrsa gen-req server nopass

ssl_vpn_02_002.png

签约服务端证书

[root@instance-azku10wv easyrsa3]#  ./easyrsa sign server server

ssl_vpn_03_003.png

创建Diffie-Hellman，确保key穿越不安全网络的命令

[root@instance-azku10wv easyrsa3]# ./easyrsa gen-dh

ssl_vpn_04_004.png

说明

到此结束， CA证书为/etc/openvpn/easy_rsa/easyrsa3/pki/ca.crt
服务端公钥为/etc/openvpn/easy_rsa/easyrsa3/pki/issued/server.crt
服务端私钥为/etc/openvpn/easy_rsa/easyrsa3/pki/private/server.key