1. Zkopírovat nástroje z adresáře /usr/share/doc/openvpn/examples/easy-rsa/2.0.
2. Upravit soubor vars, nastavit KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG a KEY_EMAIL.

# . ./vars
# ./clean-all
# ./build-ca

# ./build-key-server server

# ./build-key client1
# ./build-key client2
# ...

Přidání dalších klientů

# cd easy-rsa
# . ./vars
# ./build-key newclient

# ./build-dh

1. ca.crt → všem (CA - certifikát)
2. ca.key → server (CA - privátní klíč)
3. dh{n}.pem → server
4. server.crt, server.key → server (certifikát, privátní klíč)
5. clientX.crt, clientX.key → klient X (certifikát, privátní klíč)

port 1194
proto udp
dev tun

ca [inline]
cert [inline]
key [inline]
dh /etc/openvpn/keys/{název-vpn}/dh2048.pem  

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

server 10.0.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

client

dev tun
dev-node tap0 <-- název síťového připojení musí být "tap0"
proto udp

remote {server-hostname} 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca [inline]
cert [inline]
key [inline]

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>"

ns-cert-type server
comp-lzo
verb 3

log "C:\\Program Files\\OpenVPN\\log\\{název-vpn}.log"