d easy-rsa ../

cd 2.0/

编辑 vars

vi vars

export KEY_SIZE=2048

export KEY_COUNTRY="CN"

export KEY_PROVINCE="SH"

export KEY_CITY="SH"

export KEY_ORG="SHCL"

export KEY_EMAIL="[email protected]"

export KEY_OU="DevOps"

保存推迟后给予x权限

#chmod +x vars

#source ./vars

#./clean-all       #清除文件

#./build-ca server     ##生成服务端CA

#./build-key-server server     #生成服务端证书

#./build-key client1     ##生成客户端证书

#./build-dh ##生成迪菲·赫尔曼交换密钥

# /usr/local/open***/sbin/open*** --genkey --secret keys/ta.key  ##生成TLS-auth密钥,用户名密码认证时需要

####以上命令只需要默认回车,选择(y|n)。即可生成如下证书文件###

wKiom1mnmWmA30XAAABwQakZYps257.png-wh_50

服务端&&客户端所有证书就就生成了。

吊销客户端证书:

#cd /opt/open***/easy-rsa/2.0/

#source vars                 #全局变量

#./revoke-full client        #会在keys目录下生成一个crl.pem文件

#cp keys/crl.pem /opt/open***/keys/        #每次吊销一个客户端证书,都要重新拷贝覆盖crl.pem文件

vim /opt/open***/server.conf              #在最后添加:crl-verify keys/crl.pem

/etc/init.d/open***  restart