Question： 如果没有 安全通道 复制文件，就不能建立 PKI 了吗？ Answer： 当然可以。 上例中，为了简洁起见，我们在同一个位置生成了所有私钥。我们还可以做的更好。 例如，我们选择不在服务器上生成客户端证书和密钥，而是客户端在本地生成自己的私钥，然后向密钥签名机提交证书签名请求（CSR）。再然后，密钥签名机处理CSR并将签名的证书返还客户端。 这种方式，甚至 secret.key无需离开生成它的硬盘，就可以完成。 Setting Up Your Own Certificate Authority (CA) | OpenVPN CA Certificate Management | OpenVPN