安装openvpn的时候使用了easyrsa创建了证书,证书默认有效时间是两年半,这里记录下证书续签过程。
原有的ca证书还在,因此直接进行续签操作,否则需要从创建ca证书从头开始证书的相关操作。

1
2
3
4
5
6
7
8
9
# 进入easyrsa目录
[root@master193 EasyRSA-3.0.7]# ls
ChangeLog  COPYING.md  doc  easyrsa  gpl-2.0.txt  mktemp.txt  openssl-easyrsa.cnf  pki  README.md  README.quickstart.md  vars  vars.example  x509-types

# 续签证书
./easyrsa renew server nopass 

# 如果openvpn 不需要客户端证书就不用这一步
./easyrsa renew clientname nopass

新生成的证书会在pki中issued和private目录中,接下来将证书文件拷贝到openvpn配置的证书目录,重启openvpn即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
# 查看openvpn配置文件目录
[root@master193 pki]# systemctl status openvpn
● openvpn.service - OpenVPN service
   Loaded: loaded (/usr/lib/systemd/system/openvpn.service; enabled; vendor preset: disabled)
  Drop-In: /etc/systemd/system/openvpn.service.d
           └─override.conf
   Active: active (running) since Sun 2024-10-06 19:16:05 CST; 1 day 13h ago
     Docs: man:openvpn(8)
           https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
           https://community.openvpn.net/openvpn/wiki/HOWTO
 Main PID: 38949 (openvpn)
   Status: "Initialization Sequence Completed"
    Tasks: 1
   Memory: 6.6M
   CGroup: /system.slice/openvpn.service
           └─38949 /usr/sbin/openvpn --status-version 2 --config /etc/openvpn/server.conf

Oct 06 19:16:05 master193.169.203.137 systemd[1]: Starting OpenVPN service...
Oct 06 19:16:05 master193.169.203.137 systemd[1]: Started OpenVPN service.

[root@master193 pki]# cat /etc/openvpn/server.conf
##指定CA证书的文件路径
ca /etc/openvpn/ca.crt

##指定服务器端的证书文件路径
cert /etc/openvpn/server/server.crt
##指定服务器端的私钥文件路径
key /etc/openvpn/server/server.key

通过查看配置文件,确认cert和key文件的目录,这里ca.crt没更新就不用拷贝了,然后重启即可。

这里可以验证下ca和serve.crt是否匹配,防止找错了easyrsa目录。

1
openssl verify -CAfile ca.crt -purpose sslserver server/server.crt