K provozu OpenVPN potřebujeme openssl certifikáty. Ty si můžeme vytvořit podle (openssl.cert), nebo použijeme skripty dodané s balíčkem OpenVPN jak popíši dále.

V adresáří /usr/share/doc/openvpn/examples/easy-rsa najdeme skripty ukázkové certifikační autority. Překopíroval jsem si tedy celý adresář k sobě do ~/firma/tatofirma/ovca. Tímto způsobem mohu udržovat více cartifikačních autorit pro různé firmy či různé použití. Součástí ukázkové CA je velmi dobrý popis v soubor README.gz. Následující postup z tohoto popisu vychází.

Upravíme hodnoty v souboru s proměnnýma vars tak aby odpovídali našim potřebám. Poté vytvoříme certifikační autoritu.

$ . vars
$ ./clean-all
$ ./build-ca

Vytvoření klíče/certifikátu pro stroj je jednoduché:

$ ./build-req stroj
$ ./sign-req stroj

Získáme soubory stroj.crt a stroj.key. V prvním je veřejný certifikát a v druhém soukromý klíč.