安装ocserv请参照: 

确保已经安装ocserv.

建立相关证书配置文件夹

mkdir -p /etc/ocserv/template

建立ca证书模板

cat >/etc/ocserv/template/ca.tmpl<<eof cn="Vicer CA" organization="Vicer" serial="1" expiration_days="3650" ca="" signing_key="" cert_signing_key="" crl_signing_key="" eof=""

生成ca证书的密钥

openssl genrsa -out /etc/ocserv/template/ca.key.pem 2048

生成ca证书

certtool --generate-self-signed --hash SHA256 --load-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/ca.tmp --outfile /etc/ocserv/template/ca-cert.pem

建立user证书模板

cat >/etc/ocserv/template/user.tmpl<<eof cn="Vicer" unit="Vicer" expiration_days="3650" signing_key="" tls_www_client="" eof=""

生成user证书的密钥

openssl genrsa -out /etc/ocserv/template/user-key.pem 2048

生成user证书

certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/template/user.key.pem --load-ca-certificate /etc/ocserv/template/ca.cert.pem --load-ca-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/user.tmp --outfile /etc/ocserv/template/user-cert.pem

生成Diffie-Hellman密钥

certtool --generate-dh-params --outfile /etc/ocserv/dh.pem

补全证书链

cat /etc/ocserv/template/ca.cert.pem >>/etc/ocserv/template/user-cert.pem

生成.p12证书文件

openssl pkcs12 -export -inkey /etc/ocserv/template/user.key.pem -in /etc/ocserv/template/user-cert.pem -name "Vicer" -certfile /etc/ocserv/template/ca-cert.pem -caname "Vicer CA" -out /etc/ocserv/AnyConnect.p12 -passout pass:

更改为证书登录方式

[ -f /etc/ocserv/ocserv.conf ] && sed -i 's/^auth =/#auth =/g;s/^#auth = "certificate".*/auth = "certificate"/g' /etc/ocserv/ocserv.conf

Windows
下载AnyConnect.p12文件,双击,选择导入到本地计算机.
之后一直下一步,不用输入任何密码(如果没设置密码).

iPhone
只能用URL的方式导入,所以需要配置好HTTP服务器(如：nginx.).
首先需要建立一个链接.
点击诊断,证书,导入用户证书,粘贴AnyConnect.p12证书文件的地址.

WindowsPhone
下载AnyConnect.p12文件,点安装.
之后一直下一步,不用输入任何密码(如果没设置密码).

Android
下载AnyConnect.p12文件到手机中.
在OpenConnect中配置链接,用户认证的地方选择AnyConnect.p12文件即可.