一.续签证书
1.客户端
#证书过期时间30天内才可续签
./easyrsa renew server nopass
2.服务端
#证书过期时间30天内才可续签
./easyrsa renew client nopass
二.生成新的证书并替换
1.备份openvpn目录
cp /etc/openvpn /etc/openvpn_bak
2.删除旧的pki目录
cd /etc/openvpn/easy-rsa
rm -rf pki/
3.使用easyrsa创建pki目录
./easyrsa init-pki
4.生成证书
#生成ca证书
./easyrsa --batch build-ca nopass
#生成服务端证书
EASYRSA_CERT_EXPIRE=365000 ./easyrsa build-server-full server nopass
#生成客户端证书
EASYRSA_CERT_EXPIRE=365000 ./easyrsa build-client-full client nopass
#生成crl.pem文件
EASYRSA_CRL_DAYS=365000 ./easyrsa gen-crl
5.生成所需的secret文件ta.key
cd pki/issued/
openvpn --genkey --secret ta.key
6.查看证书到期时间
openssl x509 -noout -text -in server.crt | grep After
Not After : Jan 8 08:38:37 3022 GMT
7.重启openvpn
systemctl restart openvpn@server
评论区