Anylink安装使用教程（tun模式）

[jiaxinonly]

Anylink安装使用教程

github地址：https://github.com/bjdgyc/anylink
gitee地址：https://gitee.com/bjdgyc/anylink

演示环境

基础环境说明

阿里云ECS，内网网段172.24.128.0/20，使用tun模式，自签证书，0.7.2版本

名称	公网IP	内网IP	系统
ECS01	47.108.53.88	172.24.135.36	centos7.5 最小安装
ECS02	无	172.24.135.37	centos7.5 最小安装

ps: ECS02只是用于测试使用，我在上面安装了一个nginx用于测试访问web是否正常

查看网卡名称

在要安装anylink的服务器上，查看内网ip地址所绑定的网卡名，本次演示环境网卡名称为eth0

防火墙开放

anylink需要一个端口供客户端远程连接，这里选择默认的443，并且还需要一个端口用于访问web管理后台，这里也选择默认的8800，如果有需要请自行更换，因为云服务器默认关闭了selinux和firewalld，使用安全组，所以需要在安全组上开放内网网段和两个公网访问端口（443和8800）即可。

如果你是本地机房也需要开放一个公网IP地址+端口供客户端远程连接，并且关闭selinux和firewalld

1. 关闭selinux

   sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config # 永久关闭selinux（重启后生效）
   setenforce 0 # 临时关闭selinux（不需要重启，立即生效）

2. 关闭firewalld

   systemctl stop firewalld # 临时关闭防火墙
   systemctl disable firewalld # 永久关闭防火墙

anylink 二进制包安装

安装和配置

1. 下载anylink，本教程指定下载0.7.2版本，下载地址https://github.com/bjdgyc/anylink/releases/download/v0.7.2/anylink-deploy.tar.gz，用浏览器下载好后上传到服务器ECS01

2. SSH到服务器ECS01，解压二进制包到/usr/local目录

   tar -xzvf anylink-deploy.tar.gz -C /usr/local/

3. 进入anylink目录

   cd /usr/local/anylink-deploy

4. 生成密码1q2w%3e4r的密文，请修改为你自己要设置的密码

   注意密码不能有$符号，会被当成变量，也可以用单引号包起来

   ./anylink tool -p 1q2w%3e4r

   

5. 生成jwt密钥

   ./anylink tool -s

   

6. 进入conf配置目录

   cd conf

7. 拷贝配置文件模板

   cp server-sample.toml server.toml

8. 打开配置文件

   vi server.toml

9. 修改如下部分，其他保持不变：

   #示例配置信息
   
   #其他配置文件,可以使用绝对路径
   #或者相对于 anylink 二进制文件的路径
   
   #数据文件
   db_type = "sqlite3"
   db_source = "./conf/anylink.db"
   #证书文件 使用跟nginx一样的证书即可
   cert_file = "./conf/vpn_cert.pem"
   cert_key = "./conf/vpn_cert.key"
   files_path = "./conf/files"
   profile = "./conf/profile.xml"
   #日志目录,为空写入标准输出
   log_path = "./log" # 添加日志文件路径
   log_level = "info" # 修改日志等级为info
   pprof = false
   
   #系统名称
   issuer = "anylink vpn" # 修改系统名称
   #后台管理用户
   admin_user = "admin"
   #pass 1q2w%3e4r   你可以将明文密码写在这里，不建议
   admin_pass = "$2a$10$lvOe.X6VFL/.uf/pN4q8CezUVViovYh2zT9UdeReuscNBEZz.WATm" # 填入第4步生成的密文
   jwt_secret = "iYP8MCJ0nswI2p0bMN6wnkQ2aVJxS_tg5rNX8NVcitqj3OferWzUZXNX1OvV" # 填入第5步生成的jwt密钥
   
   
   #服务监听地址
   server_addr = ":443" # 客户端要连接的端口，如果有需要请自行修改，安全组记得开放该端口
   #开启 DTLS, 默认关闭
   server_dtls = false
   server_dtls_addr = ":4433"
   #后台服务监听地址
   admin_addr = ":8800" # 后台管理端口
   #开启tcp proxy protocol协议
   proxy_protocol = false
   
   link_mode = "tun"  # 网络模式，只演示该模式，其他模式请自行参考github
   
   #客户端分配的ip地址池
   ipv4_master = "eth0" # 网卡名，前面查看绑定内网的网卡名称
   ipv4_cidr = "192.168.10.0/24" # 如果没有和内网网段冲突就不要改了，这个是分配给客户端的ip地址池，并且后面配置nat也要与这个地址池保持一致
   ipv4_gateway = "192.168.10.1"
   ipv4_start = "192.168.10.100"
   ipv4_end = "192.168.10.200"
   
   #最大客户端数量
   max_client = 100
   #单个用户同时在线数量
   max_user_client = 3
   #IP租期(秒)
   ip_lease = 1209600
   
   #默认选择的组
   default_group = "one"
   
   #客户端失效检测时间(秒) dpd > keepalive
   cstp_keepalive = 20
   cstp_dpd = 30
   mobile_keepalive = 40
   mobile_dpd = 50
   #session过期时间，用于断线重连，0永不过期
   session_timeout = 3600
   auth_timeout = 0
   audit_interval = -1

10. 创建日志文件目录，请修改为自己配置的日志路径，不创建会启动失败，如果没有打开日志输出，可以跳过

    mkdir /usr/local/anylink-deploy/log

11. 打开profile.xml文件

    vi profile.xml

12. 修改如下配置 (这步可以不设置)

```shell
<HostName>anylink vpn</HostName> # 第30行，最好与server.toml配置文件中的系统名称保持一致，用于客户端区分
<HostAddress>47.108.53.88:443</HostAddress> # 第31行，客户端连接地址，域名加端口，或者IP加端口
```
![image-20220102151002435](https://user-images.githubusercontent.com/57223696/147929183-ac276ca6-5acd-4895-a477-2dd4df41342f.png)

生成自签证书

你可以购买证书或者使用免费的证书，这里使用自签证书，根证书和根私钥生成一次后，可以保留，给所有项目使用，就不用重复信任根证书了

1. 创建配置文件，请修改为自己IP地址和域名

   cat > openssl.cnf << EOF
   # ca根证书配置
   [ ca ]
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid:always,issuer
   basicConstraints = critical,CA:true
   
   # HTTPS应用证书配置
   [ crt ]
   subjectKeyIdentifier = hash
   authorityKeyIdentifier=keyid:always,issuer
   basicConstraints = critical, CA:false
   keyUsage = critical, digitalSignature, cRLSign, keyEncipherment
   extendedKeyUsage = critical, serverAuth, clientAuth
   subjectAltName=@alt_names
   
   # SANs可以将一个证书给多个域名或IP使用
   # 访问的域名或IP必须包含在此，否则无效
   # 修改为你要保护的域名或者IP地址，支持通配符
   [alt_names]
   IP.1 = 47.108.53.88 # 公网IP地址
   DNS.1 = anylink.com # 访问的域名，没有域名可以删掉
   EOF

2. 生成根私钥

   openssl genrsa -out root.key 4096

3. 生成根证书请求文件

   C：所在国家 (Country)，只能是两位字母缩写
   ST：所在省份(State)
   L：所在城市(Locality)
   O：所在组织(Organization)
   OU：所在部门(Organization Unit)
   CN：公用名，即域名(Common Name)

   openssl req -new -key root.key  -out root.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=anylink/OU=anylink/CN=anylink.com"

4. 生成根证书

   -req: 证书请求
   -extfile：扩展文件配置和-extensions参数使用
   -extensions：扩展配置
   -in：证书请求文件
   -out：证书输出文件
   -signkey：签名的私钥
   -days：有效期

   openssl x509 -req -extfile openssl.cnf -extensions ca -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

5. 生成vpn的私钥

   openssl genrsa -out vpn_cert.key 4096

6. 生成vpn证书的请求文件

   openssl req -new -key vpn_cert.key -out vpn_cert.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=anylink/OU=anylink/CN=anylink"

7. 签发vpn证书

   openssl x509 -req -extfile openssl.cnf -extensions crt -CA root.crt -CAkey root.key -CAserial vpn_cert.srl -CAcreateserial -in vpn_cert.csr -out vpn_cert.pem -days 3650

8. 删除多余的中间文件，删除后，应该剩下root.crt、root.key、vpn_cert.pem、vpn_cert.key这4个文件

   rm -rf  root.csr vpn_cert.csr vpn_cert.srl openssl.cnf

   

9. 拷贝根证书到files文件夹下，供客户端下载

   cp root.crt files/

配置NAT

1. 开启服务器ipv4转发

   echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

2. 立即生效

   sysctl -p

   

3. 设置nat，请替换网卡名称为前面查看的内网网卡名称，另外，如果server.toml文件里面客户端的IP地址池不是默认的192.168.10.0/24，也请修改为对应的IP地址池

   iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

4. 查看设置是否生效

   iptables -nL -t nat

   

5. 安装iptables-services，用于保存iptables配置，永久生效

   yum install -y iptables-services

6. 设置开机自启

   systemctl enable iptables.service

7. 保存当前iptables设置

   service iptables save

   

启动anylink

1. 复制service文件到系统中

   cp /usr/local/anylink-deploy/systemd/anylink.service /usr/lib/systemd/system/

2. 启动anylink

   systemctl start anylink
   systemctl enable anylink

3. 查看启动状态

   systemctl status anylink

   

浏览器访问后台管理

1. 访问地址公网IP+端口（默认8800），输入账号（admin）和 密码（1q2w%3e4r）点击登陆

   http://47.108.53.88:8800

   

2. 添加邮箱配置，这里用QQ邮箱演示，其他邮箱请自行百度，另外密码是不是QQ密码，是授权码，不清楚也请百度

   

3. 设置邮件内容

   

4. 添加用户组

   

5. 再添加一个测试组，来测试一下访问权限

6. 添加用户zhangsan

   

7. 添加用户lisi

   建议所有用户使用统一的PIN码+OTP的方式登陆，这里为了演示，使用了不同的PIN码，PIN码是固定的，用户无法自行更改不要设置太复杂了哈

   

8. 查看邮件

   
   

客户端使用

你可以将各种客户端安装包和使用教程放入/usr/local/anylink-deploy/conf/files目录下，然后在邮件里面写入下载地址供用户下载，邮件里面默认的info.txt文件也是对应该文件夹下的info.txt，客户端在压缩包里面，也可以去QQ群里下载，或者自行百度下载

压缩包文件：
FreeOTP.apk 安卓OTP软件安装包，ios请自行在应用商店下载，无法提供安装包
anyconnect-win-4.10.00093.msi win10 anyconnect安装包
anyconnect-macos-4.10.00093.dmg mac anyconnect安装包
anyconnect-4.9.06048.apk 安卓 anyconnect安装包
anyconnect-linux64-4.10.04065.tar.gz linux anyconnect安装包

手机安装OTP软件

此项是非必须的，如果开通用户时，禁用了OTP（一次性密码，每隔30秒更换一次动态密码），就不需要安装

1. 下载安装包，点击安装即可
2. 安装好后，点击右上角二维码，扫描邮件中的二维码，扫描好后，会多出一条配置，点一下就可以看6位的动态码

win10

安装客户端

1. 安装客户端anyconnect，双击下载的安装包，点击Next按钮

   

2. 选择我同意，在点击Next

   

3. 点击Install

   

4. 点击Finish

   

信任根证书

温馨提示：不要轻易信任一个未知来源的根证书，会有安全风险

1. 浏览器下载根证书

   如果下载后，找不到文件，可能被防火墙或者其他安全软件删除了

   https://47.108.53.88:443/files/root.crt

2. 双击证书安装

   

3. 选择本地计算机

   

4. 选择受信任的根证书颁发机构

   

5. 点击完成

   

6. 浏览器访问验证

   如果还是提示不安全，关掉浏览器，重新访问试试

   https://47.108.53.88:443/

   

连接

1. 双击运行anyconnect，在启动项里有快捷方式

   默认安装路径C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client

   

2. 输入邮件收到的连接地址，点连接

   

3. 输入用户和密码，PIN码是在创建用户的时候设置的，邮件上也有，后面6位670160是手机OTP软件上扫描二维码后的6位动态码，手速要快哈

   

4. 这个提示可以在管理后台邮件内容那里修改哈

   

5. 连接成功

   

6. ping内网试试

   

7. 浏览器访问ECS02上的nginx服务

   

8. 断开连接，登录过一次后，客户端会保留上次的连接配置，配置名称对应profile.xml文件中的HostName，连接地址对应HostAddress，详见安装和配置的第12步，注意目前只能保存一个配置，不知道为什么

   

9. 使用李四的账号登录，注意OTP软件，同一个邮箱同一个anylink服务端，只能保存一个账号的动态码，这里是我是将张三的动态码删除，再扫描李四的动态码，如果你实在需要一个anylink服务端使用同一个邮箱，你可以在后台将两个账号的OTP密钥设置成一样的

   

10. ping测试，符合测试组的权限，只能访问ECS01（172.24.135.36）

    

另外你可以查看一下自己电脑的IP地址，会发现正是server.toml配置文件中IP地址池中的地址，并且在服务器上，也自动创建了一张网卡，网卡IP地址跟你电脑上的一样

mac

没有mac，图片网上截的，可能不清晰，也没有验证

安装客户端

1. 双击下载的安装包，然后双击如下图标

   

2. 然后点击继续按钮

   

3. 再点击继续按钮

   

4. 弹框处点击同意按钮

   

5. 安装类型只选择 VPN 即可，然后点击继续

   

6. 然后点击安装

   

7. 验证账号密码，点击安装软件

   

8. 成功安装后如图

   

信任根证书

温馨提示：不要轻易信任一个未知来源的根证书，会有安全风险

1. 浏览器下载根证书

   https://47.108.53.88:443/files/root.crt

2. 双击钥匙串访问，选择系统选项，点击加号，找到找到证书文件

   

3. 选中证书文件，点击打开

   

4. 双击导入的证书文件，将信任项修改为始终信任

   

5. 点击证书文件的小三角，然后双击专用秘钥

   

6. 修改访问控制项为允许所有程序访问

   

连接

参考win10吧

安卓

安装客户端

1. 下载后点击安装就行了，部分手机可能会提示不安全，让你去应用商店下载或者自行百度解决

信任根证书

温馨提示：不要轻易信任一个未知来源的根证书，会有安全风险

另外也可以在设置里面去掉阻止不信任的服务器勾选，然后连接时选择导入并保存证书

1. 浏览器下载根证书

   https://47.108.53.88:443/files/root.crt

2. 点击证书安装

   

3. 设置证书名称

   

连接

1. 打开app，点击连接

   

2. 添加连接

   

3. 设置连接地址

   

4. 点击连接

   

5. 连接成功

   

   

linux

这里以centos7.5为演示，其它linux系统类似

安装客户端

1. 下载安装包

2. 创建目录

   mkdir /usr/local/anyconnect

3. 解压到目录

   tar -xzvf anyconnect-linux64-4.10.04065.tar.gz --strip-components=1 -C /usr/local/anyconnect

4. 进入安装目录

   cd /usr/local/anyconnect/vpn

5. 开始安装

   ./vpn_install.sh

   

信任根证书

温馨提示：不要轻易信任一个未知来源的根证书，会有安全风险

1. 下载根证书

   wget --no-check-certificate https://47.108.53.88:443/files/root.crt

   

2. 移动根证书到受信任的证件夹下并重命名

   不同linux系统，信任根证书的路径可能不一样请自行百度

   cp root.crt /etc/pki/ca-trust/source/anchors/anylink-ca.crt

3. 更新信任证书列表

   update-ca-trust
   

连接

1. 连接vpn

   /usr/local/anyconnect/vpn/vpn connect 47.108.53.88:443

   

2. 查看连接状态

   /usr/local/anyconnect/vpn/vpn -s stats

   

3. ping测试

   

4. 断开连接

   /usr/local/anyconnect/vpn/vpn -s disconnect 47.108.53.88:443

   

anylink 编译安装

编译安装需要golang >= 1.16 和 nodejs >= 14.x环境

安装golang

1. 下载golang，本教程指定下载1.17.5，更多版本请访问https://studygolang.com/dl

   wget https://dl.google.com/go/go1.17.5.linux-amd64.tar.gz

2. 解压到目录

   tar -xzvf go1.17.5.linux-amd64.tar.gz -C /usr/local

3. 打开环境变量文件

   vi /etc/profile

4. 在末尾添加如下变量

   export GO_HOME=/usr/local/go
   export PATH=$PATH:${GO_HOME}/bin

   

5. 立即生效

   source /etc/profile

6. 查看版本

   go version

   

安装nodejs

1. 下载nodejs，本教程指定下载16.13.1，更多版本请访问https://nodejs.org/zh-cn/

   wget https://nodejs.org/dist/v16.13.1/node-v16.13.1-linux-x64.tar.xz

2. 创建安装目录

   mkdir /usr/local/nodejs

3. 解压到目录

   tar -xvf node-v16.13.1-linux-x64.tar.xz --strip-components=1 -C /usr/local/nodejs/

4. 打开环境变量文件

   vi /etc/profile

5. 末尾修改为如下

   export GO_HOME=/usr/local/go
   export NODEJS_HOME=/usr/local/nodejs
   export PATH=$PATH:${GO_HOME}/bin:${NODEJS_HOME}/bin

   

6. 立即生效

   source /etc/profile

7. 查看版本

   node -v

   

编译anylnk

1. 下载源码包https://codeload.github.com/bjdgyc/anylink/tar.gz/refs/tags/v0.7.2，本教程指定下载0.7.2，下载好了上传到服务器

2. 解压包

   tar -xzvf anylink-0.7.2.tar.gz

3. 进入目录

   cd anylink-0.7.2

4. 编译

   sh build.sh

5. 编译好后，将部署文件移动到/usr/local目录下

   mv anylink-deploy /usr/local

6. 剩下的步骤请参考二进制包安装了

[jiaxinonly]

压缩包，QQ群下载吧，上传不了。。。

[jiaxinonly]

启动anylink的第二步systemctl start anylink后，再设置一下开机自启systemctl enable anylink

[jiaxinonly]

防火墙开放的第二步关闭firewalld的正确命令为：

systemctl stop firewalld # 临时关闭防火墙
systemctl disable firewalld # 永久关闭防火墙

[sunteta]

教程有二处错误。需要更正。不然会无法启动 和 无法访问管理WEB页面

1、自签证书：
楼主的教程自生成证书会有一定机率不能使用（下面有推荐使用SSL自动申请教程）。按着做就可以了。
但是。将证书copy到服务端使用和客户端使用没写明白。同时客户端证书生成用这个方法可行。所以还是做一下。
比方：证书生成在root文件夹下

#服务端 证书（自签可有一定机率启动不了）
cp vpn_cert.key vpn_cert.pem /usr/local/anylink-deploy/conf/
#客户端 证书（可用）
cp root.crt /usr/local/anylink-deploy/conf/files/

推荐：
强烈建议使用SSL 自动申请功能。服务端不要用自签证证书
https://owo.misaka.rest/acme-1key/
Acme.sh 一键申请证书脚本及说明

PS:如果之前用自签SSL启动不了。然后换上自动申请SSL也启用不了。重装直接用自动申请的。解决。

2、防火墙要关。楼主写错了，楼上是对的。请永久关闭防火墙。不然无法访问。访问时要加https://

# 永久关闭防火墙
systemctl disable firewalld 

这一步要重启，如果不想重启，要加多一步

# 临时关闭防火墙
systemctl stop firewalld 

3、日志

#日志有一定机率是写入不成功。建议用绝对地址
log_path = "/usr/local/anylink-deploy/log" # 添加日志文件路径

这样你就可以正常用了。修证教程。
以上本人总结经验和规坑指南。多次已成功。

[boy461205160]

@sunteta 确定日志路径，根本启动不了，注释掉日志相关参数，就可以了 版本是0.7.4
MASQUERADE all -- 192.168.10.0/24 0.0.0.0/0
ServerCfg: &{Conf:/app/conf/server.toml Profile:./conf/profile.xml ServerAddr::443 ServerDTLSAddr::4433 ServerDTLS:false AdminAddr::8800 ProxyProtocol:false DbType:mysql DbSource:anylink:curdboy@tcp(10.1.251.93:3306)/anylink?charset=utf8 CertFile:./conf/ssl/tmt167.top.cer CertKey:./conf/ssl/tmt167.top.key FilesPath:./conf/files LogPath:/data/anylink/log LogLevel:info Pprof:false Issuer:xxxxxxxxxxx AdminUser:root AdminPass:$2a$10$EdYE67dPE83dDOjc1o0vpOfSPwph5wQvLW5MujCnXmuhfEQkYt10. JwtSecret:XxiyfnR9HgtWEAYdTRjZSy2uzMEIKdrXbBYiD_f8QD-10v93e_8oW5vqq3Go9FTTamuLTIIY LinkMode:tun Ipv4Master:eth0 Ipv4CIDR:192.168.10.0/24 Ipv4Gateway:192.168.10.1 Ipv4Start:192.168.10.100 Ipv4End:192.168.10.200 IpLease:1209600 MaxClient:100 MaxUserClient:3 DefaultGroup:one CstpKeepalive:20 CstpDpd:30 MobileKeepalive:40 MobileDpd:50 SessionTimeout:3600 AuditInterval:-1}
panic: open /data/anylink/log/anylink.log: no such file or directory

#ls -ld /data/anylink/log/
drwxr-xr-x 2 root root 6 Jul 7 15:05 /data/anylink/log/
目录是存在得，应该有bug

[jiaxinonly]

有创建目录的操作，你应该漏掉了

[boy461205160]

@jiaxinonly
/data/anylink/log/ # 就是手动创建得日志存储目录

[jiaxinonly]

那你检查一下是否是相对路径与绝对路径的问题

[boy461205160]

配置文件用得绝对路径
..........
#日志目录,为空写入标准输出
#log_path = "./log"
log_path = "/data/anylink/log
log_level = "info"
pprof = false
.....

[jiaxinonly]

你用相对路径试试

[boy461205160]

没用
:20 CstpDpd:30 MobileKeepalive:40 MobileDpd:50 SessionTimeout:3600 AuditInterval:-1}
panic: open log/anylink.log: no such file or directory

goroutine 1 [running]:
github.com/bjdgyc/anylink/base.(*logWriter).newFile(0xc000117710)
/anylink/server/base/log.go:63 +0xa7
github.com/bjdgyc/anylink/base.initLog()
/anylink/server/base/log.go:76 +0x131
github.com/bjdgyc/anylink/base.Start()
/anylink/server/base/start.go:6 +0x25
main.main()
/anylink/server/main.go:28 +0x6f

[root@Docker-App /data/anylink 16:19:24]
#ls log/anylink.log
log/anylink.log

[root@Docker-App /data/anylink 16:19:49]
#grep conf/
anylink.db files/ profile.xml server.toml ssl/

[root@Docker-App /data/anylink 16:19:49]
#grep log conf/server.toml
log_path = "./log"
#log_path = "/data/anylink/log"
log_level = "debug"

[yzazzx2021]

我也来补一下防火墙规则的坑，红帽系的防火墙规则永久保存是需要依赖rc.local的。
先为rc.local赋予开机执行权chmod a+x rc.local
再将规则保存到iptables-save > /etc/iptables.conf这个文件里
最后在rc.local写入iptables-restore < /etc/iptables.conf 即可完成防火墙持久化操作
还有，Linux状态下的所有二进制的脚本以及程序包都需要先授予执行权才可以使其能够开机自启。
chmod +x 脚本名

[919137049]

[Tue Jul 25 10:40:51 EDT 2023] Your cert is in: /root/.acme.sh/it-nmg.cn/it-nmg.cn.cer
[Tue Jul 25 10:40:51 EDT 2023] Your cert key is in: /root/.acme.sh/it-nmg.cn/it-nmg.cn.key
[Tue Jul 25 10:40:51 EDT 2023] The intermediate CA cert is in: /root/.acme.sh/it-nmg.cn/ca.cer
[Tue Jul 25 10:40:51 EDT 2023] And the full chain certs is there: /root/.acme.sh/it-nmg.cn/fullchain.cer

请问我用asme 生成的证书，对应server配置文件
cert_file = "./conf/vpn_cert.pem"
cert_key = "./conf/vpn_cert.key"
应该用那两个?

服务端证书用asme脚本，客户端证书root.crt的还是按照这个原文来生成吗？
还望大佬指点以下 万分感觉。