求 ocserv 使用购买的证书的步骤

购买的证书只是可以让你链接服务器的时候不会提示证书不可信，并不是让你用来做登录验证的。
如果要使用证书登录而不是密钥登录，需要自己生成根证书与子证书用于登录验证。

Positive SSL 是域名证书...和登录证书是不一样的

@alect 证书登陆已经配置好了，移动设备就用的描述文件直接登

我就只想消除那个证书不可信。。

@xfspace 登陆证书已经弄好了。。就差域名的了。。

你本地信任自己的根证书不就行了么

@wkdhf233 你证书链没加完全。 comodo 的证书链比较长
把 crt 文件用文本编辑工具打开，然后把 ca-bundle 那个文件的内容附在 crt 文件的后面，合并成 ssl.pem
key 文件保存为 key.pem
server-cert = /etc/ocserv/ssl.pem
server-key = /etc/ocserv/key.pem

@avastms 强迫症不舒服啊。。

@alect 感谢，我试一下

@xfspace
@wkdhf233
这半年各种姿势都用过，无奈搬瓦工超售成狗。。
OCServ 、 IKEV2 、 SSTP 、 SSL 的证书增强密钥用法都是一样的，都是[保证远程计算机的身份]，[向远程计算机证明你的身份]，只要证书的 common name 或者 dns name 里面包含服务器的域名就可以了。。。
之前 wosign 还能申请到三年免费证书的时候我就申请了一个证书（穷，自己生成 CSR 就好，不要用他在线生成的 Key ，阴谋论。。。），这四种用途都可以无不可信提示。。

server-cert = /etc/ocserv/pki/server/server.crt
server-key = /etc/ocserv/pki/server/server.key
ca-cert = /etc/ocserv/pki/ca/ca.crt

server 证书是商业 ca 给你发的，可以消除不可信提示
ca 证书是你自己发的，用于客户端证书登录
客户端都不需要信任 ca ，有用这个 ca 颁发的证书和私钥就可以，亲测。。。

令： server.crt 里面需要补全证书链