通过Easy-RSA自签发证书

场景描述

Easy-RSA是一个开源的证书管理工具，用于帮助用户生成和管理数字证书。

本示例介绍在Windows操作系统中，通过Easy-RSA自签发证书。本示例使用的软件版本为3.1.7，不同软件版本之间可能存在差异。

操作步骤

1. 下载Easy-RSA。

   下载后请解压缩软件压缩包。

2. 打开Easy-RSA shell。

   打开命令行窗口，切换到软件所在目录，执行“.\EasyRSA-Start.bat”命令。

   图1 打开Easy-RSA shell
   
3. 初始化PKI环境。

   执行“./easyrsa init-pki”命令，生成PKI，自动创建名为“pki”的文件夹。

4. （可选）配置变量参数。

   默认按配置模板“vars.example”中描述的参数值进行配置。如需自定义参数值，先将“vars.example”复制到“pki”文件夹下并重命名为“vars”，再按需设置参数值。

   图2 配置变量参数
   
5. 生成CA证书。

   执行“ ./easyrsa build-ca nopass”命令生成CA证书，存放在“pki”文件夹中。

6. 生成服务端证书和私钥。

   执行 “./easyrsa build-server-full filename_base nopass”命令生成服务端证书和私钥。

   

   • 此命令中，“filename_base”为证书的CN，请根据实际填写。
   • “filename_base”必须是域名格式，否则无法正常托管到云证书管理服务，示例如下：

     ./easyrsa build-server-full p2cvpn.server nopass

7. 生成客户端证书和私钥。

   执行“ ./easyrsa build-client-full filename_base nopass”命令生成客户端证书和私钥。

8. 查看服务端、客户端证书和私钥。

   生成的服务端和客户端证书默认存放在“issued”文件夹中，生成的服务端和客户端的私钥默认存放在“private”文件夹中。

   图3 查看证书和私钥