在windows平台自动产生OpenVPN证书及定期通过邮件发布

OpenVPN是一个优秀的开放源码VPN，官网上直接提供windows平台的安装包（http://openvpn.net/index.php/open-source/downloads.html），默认安装之后，既可作为服务器也可作为客户端。

 

OpenVPN使用OpenSSL库加密数据与控制信息，虽然OpenVPN2.0后引入了用户名/口令组合的身份验证方式，它可以省略客户端证书，但是在客户端上仍有一份服务器证书需要被用作加密。因此，我觉得通过用户名/口令的方式也不能省略多少事，还得向客户端发布证书及配置文件，既然如此，还不如使用传统证书验证方式，以保证更高的安全性。

 

在windows下，按照openvpn的默认方式，产生和发布证书的确是一件麻烦的事情，且即便预置了默认值，但每产生一次证书，都要敲入回车进行确认及输入必须的common name。特别是你希望更好的控制安全性的时候，一般我们不会为一个客户端制作一个长达数月甚至几年的许可证书，往往会按月周期性的制作及发布一份新证书，让旧证书失效，以提高安全性。但是这样一来，大大增加了管理员的工作量。

 

让计算机为人类工作，是程序员的责任和义务，因此我就此问题开展研究和讨论。先总结一下我们的需求：在windows平台下，计算机自动产生OpenVPN证书及定期通过邮件发布。这说来是个小问题，还谈不到用特别的编程工具写个程序（然后编译-然后部署）来处理那么周折的地步，利用批处理和VBS便已足够对付了。日后做一些改动也很简单，改动完保存就行了，windows会临时解释执行，不需要编译部署那么多步骤，同时，你（读者）拿来可以直接使用，不必担心里面有什么病毒木马。因为每一行代码对你都是透明的，呵。

 

 

转载需注明出处（http://blog.csdn.net/gulingeagle/archive/2010/12/10/6067120.aspx）

开始设计具体步骤及分析解决方案：

1，定期自动执行；

这点通过windows任务计划就行了。

2，开始执行后，不需要用户作任何操作，即可完成任务；

对于需要用户输入的，通过VBS进行模拟。

3，当服务器的密钥生成完后，可单独生成客户端的证书，客户端信息可配置；

单独使用一个bat生成客户端的证书，以使得服务器密钥不变的情况下，可周期性的生成客户端证书；使用单独一个文件存储客户端信息，随时可供更改（如新增、删除用户，或更改邮箱地址等）；

4，服务端证书生成后，自动进行部署；客户端证书生成后，经压缩以附件方式一一向指定邮箱发布；

服务端证书生成后，拷贝文件到指定目录启动服务即可；客户端证书生成后，在批处理中使用7Z命令行参数进行压缩，之后通过VBS发送邮件；

5，执行文件可放置于非openvpn安装目录的任何其它目录；

通过在BAT中的pushd和popd可以很方便的切换当前目录。

 

好了，思路清晰以后，下面开始一步一步地实现了。

 

 

一、发送邮件

先说下发送邮件，本来这是最后的步骤，不过因为这个功能比较独立，没有很大的上下文相关性，因此先提出来说明。

 

1，首先，考虑客户端邮件列表，可以放置在数据库中，但为了简单起见，我存储在一个文本文件里，各列之间用tab键分隔，如下所示（clients.txt）：

client1client1@abc.com1client2client2@abc.com0client3client3@abc.com1

第三列1表示生效，0表示失效，将忽略这列为0的行； （扩展：你可以给这一列更丰富的功能，比如将失效的客户端目前尚在有效期内的证书列为无效）

读取clients.txt的语句，可由下列批处理完成（完整内容请见后文build-key-clients.bat）：

for /f "delims= tokens=1,2,3" %%k in (%ClientsTXT%) do ( if %%m==1 (rem ……))

 

2，有收件人信息，固然还需要发件人信息，我也将这部分信息放置在一个INI文件中，供随时更改（smtp.ini）：

[Email]SMTPServer=smtp.xxx.comMailSender=yourname@xxx.comMailPassword=yourpasswordMailSubject="OpenVPN 证书更新"MailBody="此邮件是由系统自动生成和发出的。<br><br>*特别提示：<br>如果你第一次收到来自此邮件地址发送的OpenVPN证书，那么你将获得一份有效期为35天的许可证书，该证书允许你通过OpenVPN连接到指定服务器。如果此邮件地址先前给你发送过证书，收到这封邮件说明你先前收到的证书已注销或即将过期，请及时更换。<br><br>*使用方法：<br>如果你没有OpenVPN软件，请<a href="http://swupdate.openvpn.net/community/releases/openvpn-2.1.4-install.exe" mce_href="http://swupdate.openvpn.net/community/releases/openvpn-2.1.4-install.exe">点此下载2.1.4版</a>或<a href="http://www.openvpn.net/index.php/open-source/downloads.html" mce_href="http://www.openvpn.net/index.php/open-source/downloads.html">点此查看更高版本</a>，安装OpenVPN后将附件解压至OpenVPN安装目录的config文件夹下，如：C:/Program Files/OpenVPN/config，启动OpenVPN并在系统托盘的OpenVPN程序图标上点击右键，选择connect即可连接至指定的OpenVPN服务器。<br><br>如果你有任何疑问，请直接回复。"

MailBody是邮件内容，支持HTML格式。

读取smtp.ini的语句，可由下列批处理完成（完整内容请见后文build-key-clients.bat）：

for /f "skip=1 delims=^= tokens=1,*" %%a in (%SMTPINI%) do ( rem echo %%a %%bif %%a==SMTPServer (set _SMTPServer=%%b)if %%a==MailSender (set _MailSender=%%b)if %%a==MailPassword (set _MailPassword=%%b)if %%a==MailSubject (set _MailSubject=%%b)if %%a==MailBody (set _MailBody=%%b))

 

3，使用VBS借助CDO可以轻松实现发送邮件功能，不过必须建立一个可接受参数的VBS，使之接受发件人、收件人、附件等相关信息，代码如下所示（mail.vbs）：

Dim ArgsDim MailDim strCfgSet Mail=CreateObject("CDO.Message")strCfg="http://schemas.microsoft.com/cdo/configuration/"If WScript.Arguments.Count<7 Then WScript.Echo "参数错误." WScript.QuitEnd IfSet Args=WScript.ArgumentsWith Mail.Configuration(strCfg & "smtpauthenticate")=1.Configuration(strCfg & "sendusing")=2.Configuration(strCfg & "smtpserver")=Args(0)'"smtp.xxx.com".Configuration(strCfg & "smtpserverport")=25.Configuration(strCfg & "sendusername")=Args(1)'发件人用户名@xxx.com.Configuration(strCfg & "sendpassword")=Args(2)'密码.Configuration.Fields.Update.From=Args(1)'发件人用户名@xxx.com.To=Args(3)'收件地址@xxx.com.Subject=Args(4)'"邮件标题".HtmlBody=Args(5)'"邮件内容".AddAttachment Args(6)'附件路径.Fields.UpdateEnd WithMail.SendSet Mail=NothingSet Args=Nothing

在批处理中，可以直接调用此vbs发送邮件（完整内容请见后文build-key-clients.bat）：start /wait mail.vbs %_SMTPServer% %_MailSender% %_MailPassword% %收件人% %_MailSubject% %_MailBody% %附件路径%

 

 

将上面代码放置在上文读取clients.txt的for循环中，就可以实现了发送邮件的功能了。

 

 

二、制作及部署服务端密钥证书

安装完openvpn，在程序目录中（如C:/Program Files/OpenVPN/easy-rsa），可以看到openvpn自带的一些批处理，用来生成服务器及客户端的密钥证书等。

 

 

简要说明一下我们要用到的bat的功能：

1），build-ca：产生ca.srt，用于服务器和客户端；

2），build-dh：产生hd.pem，用户服务器；

3），build-key-server：产生服务器所需的密钥和证书；

4），build-key：产生客户端所需的密钥和证书，因为我需要更改客户端证书有效期、路径等，因此我改写这个文件后，放到我们自己的目录；

5），clean-all：清除之前生成证书时产生的旧文件；

6），vars：其实是vars.bat.sample，定义了生成证书所需的变量值，这个文件我们不直接使用，而是对它进行扩充然后，放到我们自己的目录，命名为vars.bat；

7），init-config：拷贝openssl.cnf.sample和vars.bat.sample成openssl.cnf和vars.bat，因我们有自己的vars.bat，因此我将拷贝openssl.cnf.sample成openssl.cnf也写到我们自己的批处理程序里，忽略init-config。

 

可见，上面每一个bat文件都完成一个特定的功能，只要将它们串联起来执行，就可以生成openvpn所有的所需文件。

 

1，首先，我们需要设定生成证书所需的变量值（vars.bat）：

@echo offset HOME=%ProgramFiles%/OpenVPN/easy-rsaset KEY_CONFIG=openssl.cnfset KEY_DIR=D:/study/VPN/GenKey/VPNKeysset KEY_SIZE=1024set KEY_COUNTRY=CNset KEY_PROVINCE=GDset KEY_CITY=ShenZhenset KEY_ORG=OpenVPNset KEY_EMAIL=yourname@xxx.comset OpenVPNRoot="%ProgramFiles%/OpenVPN/"set Tool7z="%ProgramFiles%/7-Zip/7z"set SMTPINI=D:/study/VPN/GenKey/smtp.iniset ClientsTXT=D:/study/VPN/GenKey/clients.txtset Title_All=Building-all-keys-of-OpenVPNset Title_Clients=Building-client-keys-of-OpenVPNrem Server Settingsset ServerCommonName=VPNServerset ServerCFGFile=rem if ServerCFGFile is set, ignore the server settings belowset devnode=rem devnode=tap-bridgeset subnet=server 1.2.3.0 255.255.255.0rem server-bridge 1.2.3.190 255.255.255.0 1.2.3.150 1.2.3.189set ServerStatusLog=openvpn-status.logset ServerLogLevel=rem 0 is silent, except for fatal errorsrem 4 is reasonable for general usagerem 5 and 6 can help to debug connection problemsrem 9 is extremely verboseset ServerLogFile=rem Client Settingsset ValidDays=35set dev=taprem tap,tunset proto=udprem tcp,udpset RemoteIP=1.2.3.4set RemotePort=1194set ClientStatusLog=openvpn-status.logset ClientLogLevel=set ClientLogFile=set BuildKeyLog=D:/study/VPN/GenKey/build.log

（扩展：可以将这个文件制作成ini文件）

 

2，制作服务端密钥证书（build-key-all.bat）：

@echo offcall vars.batif defined BuildKeyLog (if not exist %BuildKeyLog% (echo %date:~0,10% %time% 初始化并清空原先的Key及启动辅助输入程序>%BuildKeyLog%) else ( echo %date:~0,10% %time% 初始化并清空原先的Key及启动辅助输入程序>>%BuildKeyLog%))@title %Title_All%pushd %HOME%copy openssl.cnf.sample %KEY_CONFIG%call clean-all.batif defined BuildKeyLog echo %date:~0,10% %time% 创建CA 密钥>>%BuildKeyLog%call build-ca.batif defined BuildKeyLog echo %date:~0,10% %time% 创建DH 文件>>%BuildKeyLog%call build-dh.batif defined BuildKeyLog echo %date:~0,10% %time% 创建VPNServer密钥和证书>>%BuildKeyLog%call build-key-server.bat %ServerCommonName%if defined BuildKeyLog echo %date:~0,10% %time% 创建TA Key>>%BuildKeyLog%%OpenVPNRoot%/bin/openvpn --genkey --secret %KEY_DIR%/ta.key

 

3，生成服务端配置文件（build-cfg-server.bat）：

set _ServerCfgFile=%KEY_DIR%/%ServerCommonName%.ovpnecho port %RemotePort% >%_ServerCfgFile%echo proto %proto%>>%_ServerCfgFile%echo dev %dev%>>%_ServerCfgFile%if defined devnode echo dev-node %devnode%>>%_ServerCfgFile%echo ca ca.crt>>%_ServerCfgFile%echo cert %ServerCommonName%.crt>>%_ServerCfgFile%echo key %ServerCommonName%.key>>%_ServerCfgFile%echo dh dh%KEY_SIZE%.pem>>%_ServerCfgFile%echo %subnet%>>%_ServerCfgFile%echo ifconfig-pool-persist ipp.txt>>%_ServerCfgFile%echo client-to-client>>%_ServerCfgFile%echo keepalive 10 120>>%_ServerCfgFile%echo tls-auth ta.key 0 >>%_ServerCfgFile%echo comp-lzo>>%_ServerCfgFile%echo persist-key>>%_ServerCfgFile%echo persist-tun>>%_ServerCfgFile%if defined ServerStatusLog echo status %ServerStatusLog% >>%_ServerCfgFile%if defined ServerLogFile echo log %ServerLogFile% >>%_ServerCfgFile%if defined ServerLogLevel echo verb %ServerLogLevel% >>%_ServerCfgFile%

这里将根据vars.bat中设置好的值写进服务端配置文件中，但只有一些常用的配置在vars.bat中进行了初始化，比如协议、端口等。（扩展：可以将全部配置都预先设置在vars.bat中，需要修改某些值时，只需要更改vars.bat一个文件即可）

 

4，部署服务端密钥证书，部署之前，应先停止openvpn服务，以防止文件覆盖失败，同时上文将目录改为了%HOME%目录（pushd %HOME%），因此需popd回到当前目录（在build-key-all.bat加上下列代码）：

popdif defined BuildKeyLog echo %date:~0,10% %time% 部署服务器配置>>%BuildKeyLog%net stop "OpenVPN Service"if defined ServerCFGFile ( copy %ServerCFGFile% %OpenVPNRoot%/config/%ServerCommonName%.ovpn) else ( call build-cfg-server.batcopy /Y %KEY_DIR%/%ServerCommonName%.ovpn %OpenVPNRoot%/config/%ServerCommonName%.ovpn)copy /Y %KEY_DIR%/ca.crt %OpenVPNRoot%/config/ca.crtcopy /Y %KEY_DIR%/ta.key %OpenVPNRoot%/config/ta.keycopy /Y %KEY_DIR%/dh%KEY_SIZE%.pem %OpenVPNRoot%/config/dh%KEY_SIZE%.pemcopy /Y %KEY_DIR%/%ServerCommonName%.key %OpenVPNRoot%/config/%ServerCommonName%.keycopy /Y %KEY_DIR%/%ServerCommonName%.crt %OpenVPNRoot%/config/%ServerCommonName%.crtnet start "OpenVPN Service"

 

5，到此，服务器密钥和证书可以一气生成及部署了，不过在生成证书的时候，需要我们手动按回车键以及输入common name,那么接下来，我们解决这个问题，看看刚才我们按了那些键，然后用vbs来模拟按键就行了（input-ast-main.vbs）：

set WshShell = WScript.CreateObject("WScript.Shell")Dim ArgsSet Args=WScript.ArgumentsWshShell.AppActivate Args(0)WshShell.SendKeys "{Enter 5}"WshShell.SendKeys Args(1)WshShell.SendKeys "{Enter 7}"WshShell.SendKeys Args(1)WshShell.SendKeys "{Enter 4}"WshShell.SendKeys "y"WshShell.SendKeys "{Enter}"WshShell.SendKeys "y"WshShell.SendKeys "{Enter}"

VBS只能对获得焦点的窗口发送按键，为了防止生成证书的窗口（build-key-all.bat）当前没有获得焦点，在build-key-all.bat启动之初我们就一气把全部消息都向它发送完，让它自己慢慢消化去吧！并且在发按键消息之前，我们再次尝试激活这个窗口。VBS可以通过窗口标题激活窗口，因此在原文的@title %Title_All%后启动上面的VBS：

@title %Title_All%start input-ast-main.vbs %Title_All% %ServerCommonName%

不过，当build-key-all.bat启动时获得了焦点但在WshShell.AppActivate这句代码执行前，用户恰巧将焦点重新定位到其它窗口去了的情况下WshShell.AppActivate也无法使build-key-all.bat窗口获得焦点。好在从build-key-all.bat启动到发送完这些按键时间非常短，但如果你碰巧遇到这种情况，按键将被发送到其它窗口，你只能重新启动build-key-all.bat了。

 

到这里，我们可以尝试运行一下程序，已经可以感受到计算机自动为我们工作的乐趣了！

 

 

三、制作客户端密钥证书及通过邮件发布

1，产生服务器所需的密钥和证书我们可以直接使用openvpn自带的build-key-server.bat，无需做任何的更改即可，但因为需要更改客户端证书有效期、路径等还需要将客户标识做为参数传递进来，因此我们必须改写build-key.bat，改写后的文件如下（命名为build-key-client.bat）：

@echo offif defined BuildKeyLog echo %date:~0,10% %time% 创建%1的证书>>%BuildKeyLog%if not exist %KEY_DIR%/%1 md %KEY_DIR%/%1pushd %HOME%openssl req -days %ValidDays% -nodes -new -keyout %KEY_DIR%/%1/%1.key -out %KEY_DIR%/%1/%1.csr -config %KEY_CONFIG%openssl ca -days %ValidDays% -out %KEY_DIR%/%1/%1.crt -in %KEY_DIR%/%1/%1.csr -config %KEY_CONFIG%if exist %KEY_DIR%/*.old del /q %KEY_DIR%/*.oldif defined BuildKeyLog echo %date:~0,10% %time% %1的证书创建完毕>>%BuildKeyLog%popd

 

2，和服务端配置一样，客户端配置也由批处理自动生成出来（build-cfg-client.bat）：

set _ClientCfgFile=%KEY_DIR%/%1/%1.ovpnecho client>%_ClientCfgFile%echo dev %dev%>>%_ClientCfgFile%echo proto %proto%>>%_ClientCfgFile%echo remote %RemoteIP% %RemotePort% >>%_ClientCfgFile%echo resolv-retry infinite>>%_ClientCfgFile%echo nobind>>%_ClientCfgFile%echo mute-replay-warnings>>%_ClientCfgFile%echo ca ca.crt>>%_ClientCfgFile%echo cert %1.crt>>%_ClientCfgFile%echo key %1.key>>%_ClientCfgFile%echo tls-auth ta.key 1 >>%_ClientCfgFile%echo comp-lzo>>%_ClientCfgFile%if defined ClientStatusLog echo status %ClientStatusLog% >>%_ClientCfgFile%if defined ClientLogFile echo log %ClientLogFile% >>%_ClientCfgFile%if defined ClientLogLevel echo verb %ClientLogLevel% >>%_ClientCfgFile%

 

3，结合开篇提到的读取clients.txt客户端邮件列表，smtp.ini发件人信息文件生成客户端证书及通过邮件发布的代码如下（build-key-clients.bat）：

@echo offif defined BuildKeyLog (if not exist %BuildKeyLog% ( echo %date:~0,10% %time% 开始创建客户端密钥及证书并通过Email发布>%BuildKeyLog%) else ( echo %date:~0,10% %time% 开始创建客户端密钥及证书并通过Email发布>>%BuildKeyLog%))set EmailCnt=0for /f "skip=1 delims=^= tokens=1,*" %%a in (%SMTPINI%) do ( rem echo %%a %%bif %%a==SMTPServer (set _SMTPServer=%%b)if %%a==MailSender (set _MailSender=%%b)if %%a==MailPassword (set _MailPassword=%%b)if %%a==MailSubject (set _MailSubject=%%b)if %%a==MailBody (set _MailBody=%%b))for /f "delims= tokens=1,2,3" %%k in (%ClientsTXT%) do ( rem echo %%kif %%m==1 (rem start input-ast-clients.vbs %Title_Clients% %%k 改为在启动时发送按键，以防收不到。call build-key-client.bat %%kcall build-cfg-client.bat %%k%Tool7z% a %KEY_DIR%/%%k/%%k.7z %KEY_DIR%/ca.crt%Tool7z% a %KEY_DIR%/%%k/%%k.7z %KEY_DIR%/ta.key%Tool7z% a %KEY_DIR%/%%k/%%k.7z %KEY_DIR%/%%k/%%k.crt%Tool7z% a %KEY_DIR%/%%k/%%k.7z %KEY_DIR%/%%k/%%k.key%Tool7z% a %KEY_DIR%/%%k/%%k.7z %KEY_DIR%/%%k/%%k.ovpnstart /wait mail.vbs %_SMTPServer% %_MailSender% %_MailPassword% %%l %_MailSubject% %_MailBody% %KEY_DIR%/%%k/%%k.7zset /a EmailCnt+=1))if defined BuildKeyLog echo %date:~0,10% %time% 此次共生成并发出了%EmailCnt%封证书邮件>>%BuildKeyLog%

代码中还通过7Z对多个文件压缩成一个，便于邮件发送。

 

4，和生成服务端证书时模拟按键一样，在产生客户端证书时也通过下列VBS模拟按键（input-ast-clients.vbs）：

set WshShell = WScript.CreateObject("WScript.Shell")Dim ArgsSet Args=WScript.ArgumentsWshShell.AppActivate Args(0)WshShell.SendKeys "{Enter 5}"WshShell.SendKeys Args(1)WshShell.SendKeys "{Enter 4}"WshShell.SendKeys "y"WshShell.SendKeys "{Enter}"WshShell.SendKeys "y"WshShell.SendKeys "{Enter}"

 

 

四、整合

1，为了使启动一个程序即可完成服务端及客户端的密钥、证书的制作和部署必须将这两个功能整合到一个批处理中，为了使模拟按键更少机会发送到其它窗口，在这个整合后的批处理启动之初，就把生成客户端证书的按键也发送出去；在制作和部署完服务端密钥、证书后启动build-key-clients.bat制作客户端密钥证书及通过邮件发布即可，因此完整的build-key-all.bat文件如下所示：

@echo offcall vars.batif defined BuildKeyLog (if not exist %BuildKeyLog% (echo %date:~0,10% %time% 初始化并清空原先的Key及启动辅助输入程序>%BuildKeyLog%) else ( echo %date:~0,10% %time% 初始化并清空原先的Key及启动辅助输入程序>>%BuildKeyLog%))@title %Title_All%start input-ast-main.vbs %Title_All% %ServerCommonName%for /f "delims= tokens=1,2,3" %%x in (%ClientsTXT%) do ( rem echo %%xif %%z==1 (start /wait input-ast-client.vbs %Title_All% %%x))pushd %HOME%copy openssl.cnf.sample %KEY_CONFIG%call clean-all.batif defined BuildKeyLog echo %date:~0,10% %time% 创建CA 密钥>>%BuildKeyLog%call build-ca.batif defined BuildKeyLog echo %date:~0,10% %time% 创建DH 文件>>%BuildKeyLog%call build-dh.batif defined BuildKeyLog echo %date:~0,10% %time% 创建VPNServer密钥和证书>>%BuildKeyLog%call build-key-server.bat %ServerCommonName%if defined BuildKeyLog echo %date:~0,10% %time% 创建TA Key>>%BuildKeyLog%%OpenVPNRoot%/bin/openvpn --genkey --secret %KEY_DIR%/ta.keypopdif defined BuildKeyLog echo %date:~0,10% %time% 部署服务器配置>>%BuildKeyLog%net stop "OpenVPN Service"if defined ServerCFGFile ( copy %ServerCFGFile% %OpenVPNRoot%/config/%ServerCommonName%.ovpn) else ( call build-cfg-server.batcopy /Y %KEY_DIR%/%ServerCommonName%.ovpn %OpenVPNRoot%/config/%ServerCommonName%.ovpn)copy /Y %KEY_DIR%/ca.crt %OpenVPNRoot%/config/ca.crtcopy /Y %KEY_DIR%/ta.key %OpenVPNRoot%/config/ta.keycopy /Y %KEY_DIR%/dh%KEY_SIZE%.pem %OpenVPNRoot%/config/dh%KEY_SIZE%.pemcopy /Y %KEY_DIR%/%ServerCommonName%.key %OpenVPNRoot%/config/%ServerCommonName%.keycopy /Y %KEY_DIR%/%ServerCommonName%.crt %OpenVPNRoot%/config/%ServerCommonName%.crtnet start "OpenVPN Service"rem echo 下面开始创建客户端密钥及证书并通过Email发布call build-key-clients.batif defined BuildKeyLog echo %date:~0,10% %time% 全部密钥及证书创建完毕，客户端密钥及证书已通过Email发布>>%BuildKeyLog%

 

2，服务端证书有效期一般比较长，在这里利用openvpn默认的build-key-server.bat生成出来为10年，然而客户端证书只有35天（在vars.bat中可设置，建议一个月左右），因此服务端证书和密钥生成一次即可，我们建立一个单独的批处理文件用于生成客户端证书密钥（build-key-clients-only.bat）：

@echo offcall vars.bat@title %Title_Clients%for /f "delims= tokens=1,2,3" %%x in (%ClientsTXT%) do ( rem echo %%xif %%z==1 (start /wait input-ast-client.vbs %Title_Clients% %%x))rem echo 下面开始创建客户端证书并通过Email发布到指定邮箱call build-key-clients.batif defined BuildKeyLog echo %date:~0,10% %time% 全部客户端密钥及证书创建完毕，并已通过邮件发布>>%BuildKeyLog%

至此，所有的设计均已完成。

程序运行时的效果图如下所示：

收到证书的邮件效果图：

 

 

五、应用

利用windows的任务计划就可以应用了，如图所示：

假设我们现在（2010-12-15 01:56）刚好执行完了一次build-key-all.bat，推算10年，我们将下次执行的时间定为：2020-12-14 06:00，而build-key-clients-only.bat则每月的14日07:00均会被执行一次：

 

六、说明

本文中的方法不见得是最优的，甚至有不曾考虑到的问题，欢迎发现问题和有更好建议的朋友提出更好的见解。如果我找到更好的方法，也会抽空贴出来。

转载需注明出处（http://blog.csdn.net/gulingeagle/archive/2010/12/10/6067120.aspx）