证书 on Liangweidong's blog

K8s 二进制部署：软件准备 / 证书 / 工具 / 组件全流程

Thu, 15 May 2025 00:00:00 +0800

写于 2020-03，背景：K8s 1.18 刚 GA，二进制部署仍是国内大厂主流（比 kubeadm 灵活、可定制）。本文以 3 master 高可用集群 + Ubuntu 22.04 为模板，覆盖从软件准备到所有组件 systemd 启动的完整流程。

一、为什么还要学二进制部署

部署方式	优点	缺点
kubeadm	一行命令搞定，官方推荐	黑盒多，问题排查难
二进制	完全可控，组件协作透明	步骤多，容易踩坑
k8s-operator	适合自建 PaaS	上手成本高

结论：生产用 kubeadm 部署，但学习用二进制才能真正理解 K8s。

二、集群规划

3 master + N worker 高可用集群：

主机名	IP	角色
master1	`192.168.139.133`	master + worker（混合）
master2	`192.168.139.134`	master + worker
master3	`192.168.139.135`	master + worker
VIP	`192.168.139.150`	Keepalived 漂移的虚拟 IP
worker1~N	自定	纯 worker

网络规划：

名称	网段
Node 网络	`192.168.139.0/24`
Service 网络	`10.96.0.0/12`
Pod 网络	`172.218.0.0/16`

三、软件准备

所有节点创建统一目录：

1

mkdir -p /k8s/softs

3.1 下载 K8s Server 包

1
2


# 1.28.5 完整 server 包（含所有 master/worker 组件二进制）
wget https://dl.k8s.io/v1.28.5/kubernetes-server-linux-amd64.tar.gz

3.2 下载 etcd

1

wget https://github.com/etcd-io/etcd/releases/download/v3.5.11/etcd-v3.5.11-linux-amd64.tar.gz

3.3 下载 cfssl（证书签发工具）

1
2
3
4
5
6
7
8


wget https://github.com/cloudflare/cfssl/releases/download/v1.6.4/cfssl_1.6.4_linux_amd64
wget https://github.com/cloudflare/cfssl/releases/download/v1.6.4/cfssljson_1.6.4_linux_amd64
wget https://github.com/cloudflare/cfssl/releases/download/v1.6.4/cfssl-certinfo_1.6.4_linux_amd64

cp cfssl_1.6.4_linux_amd64 /usr/local/bin/cfssl
cp cfssljson_1.6.4_linux_amd64 /usr/local/bin/cfssljson
cp cfssl-certinfo_1.6.4_linux_amd64 /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

四、系统配置（所有节点）

4.1 禁用 swap

1
2
3


free -m
swapoff -a
sed -ri 's/.*swap.*/#&/' /etc/fstab

4.2 禁用防火墙

1
2
3
4
5
6


# Ubuntu
sudo systemctl stop ufw
sudo systemctl disable ufw
# CentOS 7
systemctl stop firewalld
systemctl disable firewalld

4.3 关闭 SELinux（CentOS）

1
2


setenforce 0
sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

4.4 时间同步

1
2
3


timedatectl set-timezone Asia/Shanghai
apt install -y ntpdate
echo "0 */1 * * * ntpdate time1.aliyun.com" >> /var/spool/cron/crontabs/root

4.5 加载 IPVS 模块

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


apt install ipvsadm ipset sysstat conntrack -y
cat >> /etc/modules-load.d/ipvs.conf <<EOF
ip_vs
ip_vs_rr
ip_vs_wwr
ip_vs_sh
nf_conntrack
ip_tables
ip_set
xt_set
ipt_set
ipt_rpfilter
ipt_REJECT
ipip
EOF
systemctl restart systemd-modules-load.service
lsmod | grep -e ip_vs -e nf_conntrack

4.6 内核参数

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


cat << EOF > /etc/sysctl.d/k8s.conf
net.ipv4.ip_forward = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-ip6tables = 1
fs.may_detach_mounts = 1
vm.overcommit_memory = 1
vm.panic_on_oom = 0
fs.inotify.max_user_watches = 89100
fs.file-max = 52706963
fs.nr_open = 52706963
net.netfilter.nf_conntrack_max = 2310720
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_reuse = 1
net.core.somaxconn = 16384
EOF
sysctl --system

4.7 ulimit 调优

1
2
3
4
5
6
7
8
9


ulimit -SHn 65535
cat >> /etc/security/limits.conf <<EOF
* soft nofile 655360
* hard nofile 131072
* soft nproc 655350
* hard nproc 655350
* soft memlock unlimited
* hard memlock unlimited
EOF

五、证书签发（master1 操作）

K8s 集群里几乎所有通信都走 TLS，证书是入门第一道坎。

5.1 etcd 证书

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45


mkdir -p /k8s/softs/pki && cd /k8s/softs/pki

# 写入 ca 配置
cat > ca-config.json << EOF
{
 "signing": {
 "default": { "expiry": "876000h" },
 "profiles": {
 "kubernetes": {
 "usages": ["signing", "key encipherment", "server auth", "client auth"],
 "expiry": "876000h"
 }
 }
 }
}
EOF

# etcd CA
cat > etcd-ca-csr.json << EOF
{
 "CN": "etcd",
 "key": { "algo": "rsa", "size": 2048 },
 "names": [{ "C": "CN", "ST": "Beijing", "L": "Beijing", "O": "etcd", "OU": "Etcd Security" }],
 "ca": { "expiry": "876000h" }
}
EOF

cfssl gencert -initca etcd-ca-csr.json | cfssljson -bare /etc/etcd/ssl/etcd-ca

# etcd server 证书（注意 hostname 和 IP）
cat > etcd-csr.json << EOF
{
 "CN": "etcd",
 "key": { "algo": "rsa", "size": 2048 },
 "names": [{ "C": "CN", "ST": "Beijing", "L": "Beijing", "O": "etcd", "OU": "Etcd Security" }]
}
EOF

cfssl gencert \
 -ca=/etc/etcd/ssl/etcd-ca.pem \
 -ca-key=/etc/etcd/ssl/etcd-ca-key.pem \
 -config=ca-config.json \
 -hostname=127.0.0.1,master1,master2,master3,192.168.139.133,192.168.139.134,192.168.139.135 \
 -profile=kubernetes \
 etcd-csr.json | cfssljson -bare /etc/etcd/ssl/etcd

5.2 K8s CA 与 apiserver 证书

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


# K8s CA（10 年有效）
cat > ca-csr.json << EOF
{
 "CN": "kubernetes",
 "key": { "algo": "rsa", "size": 2048 },
 "names": [{ "C": "CN", "ST": "Beijing", "L": "Beijing", "O": "kubernetes", "OU": "K8s CA" }],
 "ca": { "expiry": "876000h" }
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare /etc/kubernetes/pki/ca

# apiserver 证书（多个 hostname/IP）
cat > apiserver-csr.json << EOF
{
 "CN": "kube-apiserver",
 "key": { "algo": "rsa", "size": 2048 },
 "names": [{ "C": "CN", "ST": "Beijing", "L": "Beijing", "O": "kubernetes", "OU": "K8s" }]
}
EOF

cfssl gencert \
 -ca=/etc/kubernetes/pki/ca.pem \
 -ca-key=/etc/kubernetes/pki/ca-key.pem \
 -config=ca-config.json \
 -hostname=10.96.0.1,192.168.139.133,192.168.139.134,192.168.139.135,192.168.139.150,127.0.0.1,kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster,kubernetes.default.svc.cluster.local \
 -profile=kubernetes \
 apiserver-csr.json | cfssljson -bare /etc/kubernetes/pki/apiserver

5.3 前置代理证书（aggregator）

1
2
3
4
5
6
7
8


# front-proxy CA + client
cfssl gencert -initca front-proxy-ca-csr.json | cfssljson -bare /etc/kubernetes/pki/front-proxy-ca
cfssl gencert \
 -ca=/etc/kubernetes/pki/front-proxy-ca.pem \
 -ca-key=/etc/kubernetes/pki/front-proxy-ca-key.pem \
 -config=ca-config.json \
 -profile=kubernetes front-proxy-client-csr.json | \
 cfssljson -bare /etc/kubernetes/pki/front-proxy-client

5.4 controller-manager / scheduler / admin / kube-proxy 证书

按角色签发，证书 CN 决定 K8s RBAC 里的身份（system:kube-controller-manager 等）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# controller-manager
cfssl gencert -ca=/etc/kubernetes/pki/ca.pem \
 -ca-key=/etc/kubernetes/pki/ca-key.pem -config=ca-config.json \
 -profile=kubernetes manager-csr.json | \
 cfssljson -bare /etc/kubernetes/pki/controller-manager

# scheduler
cfssl gencert -ca=/etc/kubernetes/pki/ca.pem \
 -ca-key=/etc/kubernetes/pki/ca-key.pem -config=ca-config.json \
 -profile=kubernetes scheduler-csr.json | \
 cfssljson -bare /etc/kubernetes/pki/scheduler

# admin
cfssl gencert -ca=/etc/kubernetes/pki/ca.pem \
 -ca-key=/etc/kubernetes/pki/ca-key.pem -config=ca-config.json \
 -profile=kubernetes admin-csr.json | \
 cfssljson -bare /etc/kubernetes/pki/admin

# kube-proxy
cfssl gencert -ca=/etc/kubernetes/pki/ca.pem \
 -ca-key=/etc/kubernetes/pki/ca-key.pem -config=ca-config.json \
 -profile=kubernetes kube-proxy-csr.json | \
 cfssljson -bare /etc/kubernetes/pki/kube-proxy

5.5 SA（ServiceAccount）密钥对

1
2


openssl genrsa -out /etc/kubernetes/pki/sa.key 2048
openssl rsa -in /etc/kubernetes/pki/sa.key -pubout -out /etc/kubernetes/pki/sa.pub

5.6 同步证书到其他 master

1
2
3
4
5
6


for NODE in master2 master3; do
 ssh $NODE "mkdir -p /etc/kubernetes/pki /etc/etcd/ssl"
 for DIR in etcd/ssl kubernetes/pki; do
 scp -r /etc/$DIR/* $NODE:/etc/$DIR/
 done
done

六、生成 kubeconfig（每个组件一个身份）

kubeconfig 包含集群地址 + 用户证书 + 上下文：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


KUBECONFIG_FILE=/etc/kubernetes/admin.kubeconfig
kubectl config set-cluster kubernetes \
 --certificate-authority=/etc/kubernetes/pki/ca.pem \
 --embed-certs=true --server=https://192.168.139.150:6443 \
 --kubeconfig=$KUBECONFIG_FILE

kubectl config set-credentials kubernetes-admin \
 --client-certificate=/etc/kubernetes/pki/admin.pem \
 --client-key=/etc/kubernetes/pki/admin-key.pem \
 --embed-certs=true \
 --kubeconfig=$KUBECONFIG_FILE

kubectl config set-context kubernetes-admin@kubernetes \
 --cluster=kubernetes --user=kubernetes-admin \
 --kubeconfig=$KUBECONFIG_FILE

kubectl config use-context kubernetes-admin@kubernetes --kubeconfig=$KUBECONFIG_FILE

controller-manager / scheduler / kube-proxy 各自生成一份 kubeconfig。

七、解压二进制到 /usr/local/bin

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# K8s 组件（master + worker 都有）
cd /k8s/softs
tar -xf kubernetes-server-linux-amd64.tar.gz \
 --strip-components=3 -C /usr/local/bin \
 kubernetes/server/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy}

# etcd
tar -xf etcd-v3.5.11-linux-amd64.tar.gz
mv etcd-v3.5.11-linux-amd64/etcd /usr/local/bin/
mv etcd-v3.5.11-linux-amd64/etcdctl /usr/local/bin/
mv etcd-v3.5.11-linux-amd64/etcdutl /usr/local/bin/

同步到其他节点：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# master 节点
for NODE in master2 master3; do
 scp /usr/local/bin/kube{let,ctl,-apiserver,-controller-manager,-scheduler,-proxy} $NODE:/usr/local/bin/
 scp /usr/local/bin/etcd* $NODE:/usr/local/bin/
done

# worker 节点
for NODE in worker1 worker2; do
 scp /usr/local/bin/kube{let,-proxy} $NODE:/usr/local/bin/
done

八、systemd 单元文件

8.1 kube-apiserver.service

所有 master 节点都需要，注意 --advertise-address 每个 master 不同：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43


[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \
 --v=2 \
 --allow-privileged=true \
 --bind-address=0.0.0.0 \
 --secure-port=6443 \
 --advertise-address=192.168.139.133 \
 --service-cluster-ip-range=10.96.0.0/12,fd00:1111::/112 \
 --service-node-port-range=30000-32767 \
 --etcd-servers=https://192.168.139.133:2379,https://192.168.139.134:2379,https://192.168.139.135:2379 \
 --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem \
 --etcd-certfile=/etc/etcd/ssl/etcd.pem \
 --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem \
 --client-ca-file=/etc/kubernetes/pki/ca.pem \
 --tls-cert-file=/etc/kubernetes/pki/apiserver.pem \
 --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem \
 --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem \
 --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem \
 --service-account-key-file=/etc/kubernetes/pki/sa.pub \
 --service-account-signing-key-file=/etc/kubernetes/pki/sa.key \
 --service-account-issuer=https://kubernetes.default.svc.cluster.local \
 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota \
 --authorization-mode=Node,RBAC \
 --enable-bootstrap-token-auth=true \
 --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem \
 --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem \
 --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem \
 --requestheader-allowed-names=aggregator \
 --requestheader-group-headers=X-Remote-Group \
 --requestheader-extra-headers-prefix=X-Remote-Extra- \
 --requestheader-username-headers=X-Remote-User \
 --enable-aggregator-routing=true
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

8.2 kube-controller-manager.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


[Unit]
Description=Kubernetes Controller Manager
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-controller-manager \
 --v=2 \
 --bind-address=0.0.0.0 \
 --root-ca-file=/etc/kubernetes/pki/ca.pem \
 --cluster-signing-cert-file=/etc/kubernetes/pki/ca.pem \
 --cluster-signing-key-file=/etc/kubernetes/pki/ca-key.pem \
 --service-account-private-key-file=/etc/kubernetes/pki/sa.key \
 --kubeconfig=/etc/kubernetes/controller-manager.kubeconfig \
 --leader-elect=true \
 --use-service-account-credentials=true
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

8.3 kube-scheduler.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


[Unit]
Description=Kubernetes Scheduler
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-scheduler \
 --v=2 \
 --bind-address=0.0.0.0 \
 --leader-elect=true \
 --kubeconfig=/etc/kubernetes/scheduler.kubeconfig
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

8.4 kubelet.service（所有 master + worker 节点）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


[Unit]
Description=Kubernetes Kubelet
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kubelet \
 --v=2 \
 --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig \
 --kubeconfig=/etc/kubernetes/kubelet.kubeconfig \
 --config=/etc/kubernetes/kubelet-config.yaml \
 --cert-dir=/etc/kubernetes/pki \
 --hostname-override=<本节点主机名>
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

8.5 kube-proxy.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


[Unit]
Description=Kubernetes Kube-Proxy Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-proxy \
 --v=2 \
 --config=/etc/kubernetes/kube-proxy-config.yaml \
 --hostname-override=<本节点主机名>
Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

九、启动顺序与验证

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 所有 master 节点
systemctl daemon-reload
systemctl enable --now kube-apiserver kube-controller-manager kube-scheduler kubelet kube-proxy
systemctl status kube-apiserver

# 验证（master1）
kubectl get componentstatuses
# NAME STATUS MESSAGE ERROR
# controller-manager Healthy ok
# scheduler Healthy ok
# etcd-0 Healthy {"health":"true"}

十、常见坑

证书 hostname 漏配：apiserver 报 “x509: certificate is not valid for any names”，重新签发并把 VIP、Service IP、k8s 域名都加进去
bootstrap token 过期：默认 24h，过期后 worker 无法 join，kubeadm token create --print-join-command 重新生成（kubeadm 部署）
etcd 启动后 apiserver 连不上：etcd 证书路径不对，配置里写 /etc/etcd/ssl/，但 cert 实际在 /etc/kubernetes/pki/etcd/，加软链
kubelet 起不来：bootstrap-kubelet.kubeconfig 不存在或 token 失效
kube-proxy 模式选错：默认 iptables，高并发场景（>5000 Service）改 IPVS 性能更好

十一、前置知识 / 下一步

前置：

K8s 架构概念（参考 2017-06-15《Kubernetes 入门》）
etcd 基本原理（参考 2020-09-15《etcd 集群部署》）
Linux 网络基础（iptables / IPVS / 网桥）

下一步：

etcd 集群部署（2020-09-15）—— K8s 数据层高可用
API Server 高可用（2021-03-15）—— Nginx 四层 + Keepalived VIP
K8s 集群插件（2021-09-15）—— CNI / CoreDNS / Metrics / Dashboard

参考资料

Kubernetes The Hard Way - Kelsey Hightower
Kubernetes 官方文档 - kubeadm 安装
cfssl 官方文档
Kubernetes 组件参数参考

OpenVPN 自建 VPN 服务：证书签发、客户端配置与多用户管理

Sat, 15 Sep 2018 00:00:00 +0800

企业内网里要远程办公、要让外网访问内部系统，传统方案是"公网 IP + 端口映射 + 防火墙白名单"，但任意端口都暴露风险大。VPN（Virtual Private Network）是更安全的方案——所有流量走加密隧道，访问内网像在内网一样。OpenVPN 是开源 VPN 里的"老牌选手"，协议成熟、客户端齐全、跨平台。这篇文章讲清楚容器化部署、CA 证书签发、客户端 .ovpn 配置、多用户管理。

阅读对象：要给团队搭企业 VPN、给客户搭远程访问通道的运维同学
覆盖范围：kylemanna/openvpn 容器化部署、CA 签发、客户端 .ovpn 生成、duplicate-cn 多人共用、多用户管理脚本

〇、本文与"VPN 与代理自托管"一文的关系

本篇侧重 OpenVPN 单协议的深度——性能调优、跨平台客户端、协议变体、与企业网络设备对接。如果想看 OpenVPN + V2Ray 两条路线的选型对比，请参考姐妹篇 VPN 与代理自托管：OpenVPN 与 V2Ray 部署实战。

合规提示（必读）：本文仅讨论 OpenVPN 用于企业远程办公、跨地域内网访问、出差员工接入公司内网等合法场景。部署、使用 VPN 服务务必遵守所在国家/地区法律法规。未经电信主管部门批准擅自建立、使用其他信道进行国际联网在中国大陆境内属违法行为。请勿用于违反所在国法律法规的用途。

一、为什么是 OpenVPN

VPN 协议不止一种，主流对比：

协议	特点	适用
OpenVPN	SSL/TLS 加密，UDP/TCP 都行，跨平台	企业内网 VPN，老牌稳定
WireGuard	新一代，Linux 内核态，配置极简	追求性能与简洁
IPSec / IKEv2	移动端友好，原生支持 iOS/macOS	移动办公
Shadowsocks / V2Ray	代理协议，不是真 VPN	翻墙 / 流量伪装

When to use：要给企业员工/客户提供"访问内网"能力，OpenVPN 是最稳的方案——企业级防火墙一般不会拦 OpenVPN 流量（看是 TCP 443 还是 UDP 1194），客户端覆盖 Windows / macOS / Linux / iOS / Android。

二、容器化部署

2.1 拉镜像

1

docker pull kylemanna/openvpn

2.2 初始化配置

1
2
3
4
5
6
7
8


# 创建配置卷
OVPN_DATA="ovpn-data"
docker volume create --name $OVPN_DATA

# 生成 OpenVPN 服务端配置（UDP 协议，公网 IP 替换成实际 IP）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn \
 ovpn_genconfig -u udp://{{PUBLIC_IP}}

协议选择：

UDP 1194：性能好，主流选择

TCP 443：能穿透企业代理/防火墙，但性能略差

2.3 签发 CA 证书

1
2
3
4
5
6
7
8
9


docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn ovpn_initpki

# 交互式输入：
# Confirm removal: yes
# Enter PEM pass phrase: {{CA_PASSWORD}} # CA 私钥密码
# Verifying - Enter PEM pass phrase: {{CA_PASSWORD}}
# Common Name (eg: your user,host,or server name) [Easy-RSA CA]: 直接回车
# Enter pass phrase for /etc/openvpn/pki/private/ca.key: {{CA_PASSWORD}}

CA 密码保管：这个密码是 CA 私钥的"二次锁"，必须记录下来备份——后面签发/吊销客户端证书时都要用到。

2.4 启动服务端

1
2
3
4
5
6


docker run -d --name openvpn --restart=always \
 -v $OVPN_DATA:/etc/openvpn \
 -p 1194:1194/udp \
 --cap-add=NET_ADMIN \
 --restart=always \
 kylemanna/openvpn

–cap-add=NET_ADMIN：让容器获得 NET_ADMIN 能力，能创建 tun 设备、改路由表。

2.5 验证

服务端启动后，查看日志：

1

docker logs -f openvpn

看到 Initialization Sequence Completed 说明成功。

三、签发客户端证书

3.1 单个客户端

1
2
3
4
5
6
7


# 签发 client 证书
docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full {{USERNAME}} nopass

# 导出 .ovpn 配置文件
docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient {{USERNAME}} > {{USERNAME}}.ovpn

nopass：客户端证书不设密码。nopass 适合自动化/移动端，有密码更安全（每次连接输密码），按业务取舍。

3.2 .ovpn 文件内容

导出的 .ovpn 文件包含：

CA 证书
客户端证书
客户端私钥
服务端配置（IP、端口、协议、压缩方式）

直接发给用户用 OpenVPN 客户端导入即可：

Windows / macOS：OpenVPN Connect 客户端
Linux：openvpn --config xxx.ovpn
iOS / Android：OpenVPN Connect APP

不要通过微信/邮件明文传 .ovpn——里面是私钥。建议企业内 IM（如企业微信）传或加密压缩。

3.3 客户端连接

1
2
3


# Linux
sudo apt install openvpn
sudo openvpn --config /path/to/{{USERNAME}}.ovpn

连接成功后，客户端会拿到 10.8.x.x 的 VPN IP，访问内网（如 192.168.0.0/16）就自动走 VPN 隧道。

四、关键配置

/var/lib/docker/volumes/ovpn-data/_data/openvpn.conf（核心）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/{{SERVER_NAME}}.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/{{SERVER_NAME}}.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun
proto udp
port 1194
dev tun0
status /tmp/openvpn-status.log
user nobody
group nogroup
comp-lzo no

# 路由推送（让客户端能访问内网）
route 192.168.0.0 255.255.0.0

# DNS 推送
push "block-outside-dns"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "comp-lzo no"

五、多用户管理

5.1 duplicate-cn（多人共用证书）

默认 OpenVPN 一个证书只允许一个连接。多人用同一个 .ovpn：

1
2
3
4
5


# 在 openvpn.conf 末尾加
echo "duplicate-cn" >> /var/lib/docker/volumes/ovpn-data/_data/openvpn.conf

# 重启
docker restart openvpn

不推荐生产用：所有用户用同一个证书，审计不到具体人，吊销就是"全部吊销"。建议每个用户独立签发证书。

5.2 批量添加用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


#!/bin/bash
# vim add_user.sh
OVPN_DATA="ovpn-data"
read -p "please your username: " NAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full $NAME nopass

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient $NAME > /root/"$NAME".ovpn

docker restart openvpn

5.3 删除用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


#!/bin/bash
# vim del_user.sh
OVPN_DATA="ovpn-data"
read -p "Delete username: " DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa revoke $DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa gen-crl

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/reqs/"$DNAME".req

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/private/"$DNAME".key

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/issued/"$DNAME".crt

docker restart openvpn

六、踩坑清单

UDP 1194 被防火墙拦——换 TCP 443，重启 ovpn_genconfig -u tcp://{{IP}}
客户端连上但访问不了内网——服务端没 push "route 192.168.x.x 255.255.x.x"，或者内网机器防火墙拦截了 VPN 客户端 IP（10.8.0.0/24）
DNS 解析失败——客户端拿到了 VPN IP 但解析不到内网域名，添加 push "dhcp-option DNS 10.0.0.2"
证书过期——Easy-RSA 默认 825 天，吊销旧证书、签发新证书
.ovpn 文件被截断——> 重定向可能被 shell 解释，证书里的 --- 等特殊字符要用 <<EOF 或 tee 输出
多人共用证书审计不到——生产用 duplicate-cn 是"省事但危险"，强烈建议一证一人

七、OpenVPN 性能优化（独有）

性能调优是与 VPN 与代理自托管姐妹篇不重叠的部分。

7.1 协议层

协议	性能	兼容	适用
UDP	最高	大多数客户端	默认推荐
TCP	略低	所有环境	穿透强约束网络
TCP 443	低	全部	跨公网 NAT / 严格防火墙

proto udp 默认选；只有 UDP 被防火墙挡才换 TCP。

7.2 加密层

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 高性能（默认）
cipher AES-256-CBC
auth SHA256
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

# 极致性能（牺牲一些安全性）
cipher AES-128-GCM # 128 vs 256 性能差 30%
auth SHA1

# 强制 TLS 1.2+（强烈推荐）
tls-version-min 1.2

2024+ 推荐：CPU 支持 AES-NI 硬件加速（所有现代 Intel/AMD CPU 都支持），AESGCM 比 CBC 快 2-3 倍。改用 cipher AES-256-GCM。

7.3 压缩（注意历史教训）

1
2
3
4
5


# 禁用 comp-lzo（VORACLE 攻击）
comp-lzo no
push "comp-lzo no"

# 不用 compress（如果用了 LZ4 也建议禁）

7.4 keepalive 与 MTU

1
2
3
4
5
6


# 客户端断线 60s 内重连，服务端 120s 释放
keepalive 10 60

# 关键 MTU 调优（避免分片）
tun-mtu 1400
mssfix 1360

7.5 大规模并发（千人级）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 服务端配置
max-clients 1000
max-routes-per-client 50
duplicate-cn # 仅审计可放弃时使用
tcp-nodelay

# /etc/sysctl.conf（宿主）
net.core.somaxconn = 4096
net.ipv4.tcp_max_syn_backlog = 4096
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

7.6 性能基准（参考）

配置	单客户端带宽	CPU 占用（单核）
AES-256-CBC + UDP	~800 Mbps	60%
AES-256-GCM + UDP	~2 Gbps	30%
AES-128-GCM + UDP	~3 Gbps	20%
TCP 443	~500 Mbps	70%

实际值取决于 CPU、MTU、网络环境。1 Gbps 客户端+ AES-NI 可跑到 1.5+ Gbps 隧道吞吐。

八、跨平台客户端实战（独有）

8.1 Windows

OpenVPN Connect 官方客户端
OpenVPN GUI（2018 起停更，但仍是事实标准）
Tunnelblick（仅 macOS）→ Windows 对应 OpenVPN Connect

8.2 macOS

Tunnelblick 开源 GUI（事实标准）
OpenVPN Connect 官方
Viscosity 商业（订阅制，UI 友好）

8.3 Linux

1
2
3
4
5
6
7


# 命令行
sudo apt install openvpn
sudo openvpn --config client.ovpn

# NetworkManager 图形
sudo apt install network-manager-openvpn network-manager-openvpn-gnome
# 系统设置 → 网络 → + → VPN → OpenVPN → 选 .ovpn 文件

8.4 iOS / Android

OpenVPN Connect（官方）
导入 .ovpn 后会自动保存，连接时输入证书密码（如果签发时设了）

8.5 路由器（OpenWrt / iKuaiOS）

1
2
3
4
5
6
7
8
9


# OpenWrt 安装
opkg install openvpn-openssl

# 复制 .ovpn 到 /etc/openvpn/
# 启动
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

# 路由器下所有设备都走 VPN（"硬路由级" VPN）

进阶：把 OpenVPN 装到企业网关（pfSense / OPNsense），整个网段接入 VPN。

九、协议变体与互操作（独有）

9.1 OpenVPN Access Server（商业版）

官方商业版，免证书签发
提供 Web 管理后台、用户自助注册
适合中小企业（< 200 用户）不想自己维护 CA
授权 10 用户起售

9.2 OpenVPN Cloud

2020+ 推出的 SaaS 版
全球 Anycast 节点
适合跨国企业、远程办公团队
按用户订阅

9.3 WireGuard 替代？

维度	OpenVPN	WireGuard
内核态	否（用户态）	是（Linux 5.6+）
性能	中	极高（UDP 单线程 ~1 Gbps）
配置	中（CA + 证书）	极简（公私钥对）
抗检测	中	低（流量特征明显）
跨平台	全平台	全平台（2019+）
适用	企业内网、远程办公	高性能场景、移动端

2024 选型：传统企业 → OpenVPN（稳定、审计、客户端全）；新项目 / 高性能 → WireGuard（配置极简、性能强）。

十、参考资料

kylemanna/openvpn：https://github.com/kylemanna/docker-openvpn
OpenVPN 官方文档：https://openvpn.net/community-resources/
OpenVPN Connect 客户端下载：https://openvpn.net/client/

下一步

想做代理？→ V2Ray 代理服务搭建一文
想做 WebRTC 内网穿透？→ 流媒体与 WebRTC 实时视频一文
想做 Web 网关？→ Nginx 反向代理实战一文

iOS 应用开发与证书管理：开发者账号、Identifiers 与 Profiles

Tue, 15 Aug 2017 00:00:00 +0800

准备工作

iOS 开发需要两样硬件：

iPhone 手机（调试设备，UDID 唯一）
Mac 电脑（macOS 10.9+，钥匙串访问工具）

实际上没有 Mac 也可以用云 Mac（MacStadium、AWS EC2 Mac），但本地 Mac 是最舒服的方案。

一、申请 Apple ID

如果已有 Apple ID 可跳过。访问 https://appleid.apple.com 注册。建议用真实邮箱（后续找回密码用得到）。

二、申请开发者账号

访问 https://developer.apple.com/account

账号类型

类型	费用	适用
个人（Individual）	99 USD/年	独立开发者
组织（Organization）	99 USD/年	公司（需 D-U-N-S 编号）

注册流程：登录 → 选择类型 → 填写资料 → 付款 → 等待审核（1~3 天）。

三、申请 Identifiers（App ID）

App ID 是应用的唯一标识，对应一个 Bundle ID（如 com.yourcompany.appname）。Bundle ID 不可重复，建议用反向域名：

个人：com.firstname.lastname.appname
公司：com.companyname.appname

创建步骤

登录后台 → Certificates, Identifiers & Profiles → Identifiers
点击 “+” 添加
选择 App IDs，点击 Continue
选择 App
填写 Description（如 “我的App”）和 Bundle ID（如 com.example.app）
Capabilities：勾选需要的能力（推送通知、Sign in with Apple、App Groups、HealthKit 等）
点击 Continue → Register

常用 Capabilities

Push Notifications：推送（必须生成 APNs 证书或 key）
Sign in with Apple：Apple 登录
App Groups：应用间共享数据
Background Modes：后台运行
HealthKit / HomeKit / Wallet：健康/智能家居/钱包

四、申请 Certificates（证书）

iOS 证书分三类：

证书	用途
Apple Development	开发期（真机调试）
Apple Distribution	发布期（App Store / Ad Hoc）
APNs SSL (Sandbox & Production)	推送通知（Sandbox 开发、Production 生产）

申请步骤（Mac 钥匙串）

打开 Mac → 应用程序 → 实用工具 → 钥匙串访问
菜单：钥匙串访问 → 证书助理 → 从证书颁发机构请求证书
填写：
- 用户电子邮件：开发者邮箱
- 常用名称：随便填
- CA 邮箱：留空
- 请求是：选择存储到磁盘
保存得到 CertificateSigningRequest.certSigningRequest 文件
回到 Apple Developer 后台 → Certificates → “+”
选择证书类型（Apple Development / Apple Distribution）
上传 .certSigningRequest 文件
下载生成的 .cer 证书
双击 .cer → 用钥匙串打开
在钥匙串中找到该证书 → 右键 → 导出 → 保存为 .p12（含私钥）

p12 密码：导出时设一个密码。别忘了这个密码——CI/CD、Fastlane、跨电脑开发都要用。

推送证书（APNs）

同上，但选 Apple Push Notification service SSL (Sandbox & Production)
同一个 App ID 可以同时有 Development 和 Production 推送证书
iOS 13+ 起，也可以用 APNs Auth Key（.p8） 替代 SSL 证书——一份 key 通用 Sandbox 和 Production

五、添加调试设备

调试设备必须先在 Apple Developer 后台注册 UDID。

获取 UDID

iPhone 用数据线连接 Mac
打开 iTunes（macOS Catalina 之前）/ Finder（Catalina 之后）
点击 iPhone 图标
在序列号区域点击切换显示 UDID
右键 → 复制

添加到 Apple Developer

后台 → Devices → All → “+”
填写：
- Platform：iOS / tvOS / watchOS
- Device Name：随便（如 “iPhone 15 - Dev”）
- Device ID (UDID)：粘贴刚才复制的 UDID
Register

个人开发者账号最多注册 100 台 设备（每年重置一次）。

六、申请 Provisioning Profiles

Profile 把 App ID + Certificates + Devices 串起来，是 Xcode 编译时真正要的"凭证包"。

类型

Profile	用途
iOS App Development	真机调试
Ad Hoc	内测（不上 App Store，最多 100 台设备）
App Store	上架 App Store

创建步骤

后台 → Profiles → All → “+”
选择类型 → Continue
选择 App ID → Continue
选择证书（Apple Development / Apple Distribution）→ Continue
选择调试设备（仅 iOS App Development / Ad Hoc）→ Continue
命名 Profile（如 “MyApp Dev”）→ Generate
下载 .mobileprovision 文件
双击安装到 Xcode

添加新设备后必须重新生成 Profile——老的 Profile 不会自动包含新设备。

七、Xcode 中配置

打开 Xcode → 项目 → Signing & Capabilities
勾选 Automatically manage signing（Xcode 自动管理）
Team 选择你的 Apple Developer Team
Bundle Identifier 填刚才创建的 App ID

或者手动管理：

取消勾选 Automatically manage signing
Provisioning Profile 选择刚才下载的
Signing Certificate 选择对应的证书

八、构建并跑真机

1
2


# Xcode 选中真机（不是模拟器）
# Product -> Run (Cmd + R)

首次运行会弹窗要求信任证书：设置 → 通用 → VPN 与设备管理 → 信任开发者。

常见问题

“No code signing identities found”

证书没装到钥匙串。重新双击 .cer 文件。

“Failed to create provisioning profile”

Profile 中没有包含当前设备。重新生成 Profile（包含新设备 UDID）。

“Bundle Identifier conflict”

Bundle ID 全局唯一，换一个。

推送收不到

检查 Capabilities 是否勾选 Push Notifications
检查 APNs 证书是否过期（开发证书 1 年，生产证书 1 年）
改用 APNs Auth Key (.p8) 不会过期

2024+ 视角：自动签名、App Store Connect API、TestFlight

本文 2017 年写时，Xcode 的"自动签名"还是可选功能（Xcode 8 引入但很多团队不敢用）。7 年后（2024），自动签名已经是事实标准——配合 App Store Connect API + TestFlight + Fastlane，整套流程可以做到零人工、零 .p12 邮件。下面是当前的最佳实践。

1. 自动签名（Automatic Signing）—— 现在不用会累死

Xcode 14+（2022-09）：自动签名能力再次大幅增强。

1.1 项目配置

1
2
3
4


# Xcode → Project → Target → Signing & Capabilities
☑ Automatically manage signing
 Team: <Your Team ID>
 Bundle Identifier: com.example.app

之后——Xcode 会自动：

创建/更新 App ID
创建/更新 Provisioning Profile（Development / Ad Hoc / Distribution）
关联证书
写入 *.xcodeproj/project.pbxproj

好处：

新员工入职 → 登录 Apple ID 即可（不用再走"申请证书 → 申请 Profile → 导出 p12"流程）
Bundle ID 改名 → Xcode 自动重建
新增设备 UDID → Xcode 自动重生成 Dev Profile
没有 p12 邮件——告别 .p12 + 密码在企业微信群里传来传去

1.2 仍然需要手动的场景

企业内部分发（In-House / Enterprise）——仍需手动建 Enterprise Profile
跨电脑同步证书——见下节"钥匙串共享"
多 Target / 多 Bundle ID——Target 数量多时仍需手动管理

2. App Store Connect API（替代手工点网页）

2018 年 Apple 推出 App Store Connect API，到 2024 年已经覆盖几乎所有手动操作（上传构建、创建版本、提交审核、管理 TestFlight、管理用户等）。

2.1 创建 API Key

1

App Store Connect → Users and Access → Keys → App Store Connect API → Generate

得到 3 项：

Issuer ID（团队级，UUID）
Key ID（单 key 唯一）
.p8 文件（私钥，只能下载一次）

2.2 用 API Key 上传构建（不再用 Transporter GUI）

1
2
3
4
5
6


# 安装 xcrun（Xcode 自带）
xcrun altool --upload-app \
 --type ios \
 --file MyApp.ipa \
 --apiKey ABC123XYZ \
 --apiIssuer 12345678-90ab-cdef-1234-567890abcdef

vs 旧版 Transporter：

✅ 可脚本化（CI/CD 友好）
✅ 不需要交互登录
✅ 不需要 2FA 验证码
✅ 一台机器一个 .p8，不受 Mac 换机影响

2.3 用 API Key 自动创建版本 / 提交审核

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40


# 用 PyJWT 签 JWT，调用 App Store Connect REST API
import jwt
import time
import requests

KEY_ID = "ABC123XYZ"
ISSUER_ID = "12345678-90ab-cdef-1234-567890abcdef"
PRIVATE_KEY = open("AuthKey_ABC123XYZ.p8").read()

# 1. 签 JWT
token = jwt.encode(
 {
 "iss": ISSUER_ID,
 "iat": int(time.time()),
 "exp": int(time.time()) + 1200,
 "aud": "appstoreconnect-v1",
 },
 PRIVATE_KEY,
 algorithm="ES256",
 headers={"kid": KEY_ID},
)

# 2. 创建新版本
r = requests.post(
 "https://api.appstoreconnect.apple.com/v1/appStoreVersions",
 headers={"Authorization": f"Bearer {token}"},
 json={
 "data": {
 "type": "appStoreVersions",
 "attributes": {
 "versionString": "1.2.0",
 "platform": "IOS",
 },
 "relationships": {
 "app": {"data": {"type": "apps", "id": "1234567"}}
 },
 }
 },
)
print(r.json())

3. TestFlight 2024 现状

Xcode 14+ 起 TestFlight 体验大幅提升：

特性	2017 状态	2024 状态
内测名额	25 个内部 + 1000 外部	100 个内部 + 10000 外部
外部测试	需 Apple 审核	不再需要（自动通过）
构建有效期	60 天	90 天
群组管理	后台手动	API 自动化
安装方式	邮件 / 链接	TestFlight App / 公开链接 / QR Code

TestFlight 公开链接（2020 推出）：

1

https://testflight.apple.com/join/XXXXXXXX

任何人点链接 → 安装 TestFlight App → 收到邀请 → 安装内测版。适合 50 人以内的小范围灰度。

4. Fastlane match —— 证书管理的"正确姿势"

本文 2017 时 Fastlane 还很新，2024 已经成熟到"不用不专业"。

4.1 match 是什么

把证书和 Profile 集中存到一个 Git 仓库（可以是私有 GitLab/Gitee），全团队共享。新员工入职 = 拉一次 git 仓库 = 拿到所有证书。

4.2 初始化

1
2
3
4
5
6
7
8
9


# 1. 装 fastlane
sudo gem install fastlane

# 2. 在项目根目录初始化
fastlane match init

# 3. 创建证书 + Profile（一次性）
fastlane match appstore # App Store 分发
fastlane match development # 真机调试

4.3 在 CI/CD 里用

1
2
3
4
5
6
7
8


# CI 拉证书
fastlane match appstore --readonly \
 --git_url git@gitlab.example.com:mobile/ios-certificates.git \
 --git_branch main \
 --app_identifier com.example.app

# 接着打包
fastlane build_release

好处：

不再用邮件发 p12——告别"证书密码忘了"、“p12 过期”、“新员工入职没人理”
CI 机器无障碍——GitHub Actions / GitLab CI 直接拉
审计友好——所有证书变更都有 git 提交记录

5. 钥匙串共享（跨 Mac 同步）

如果仍然用手动签名 + 跨 Mac 开发，用 iCloud 钥匙串：

1

系统设置 → 通用 → Apple ID → iCloud → 钥匙串 ☐→☑

之后——所有登录 Apple ID 的 Mac 自动共享证书 / 私钥。新 Mac 登录 = 5 分钟拿到所有签名材料。

6. 2024 iOS 证书管理完整流程（推荐）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


首次（一次性）：
 1. 团队 Leader 跑 fastlane match
 → 创建 App ID / Cert / Profile → 推到 Git 仓库

日常开发：
 2. 新员工 git pull 证书仓库
 3. fastlane match development --readonly
 4. Xcode 打开 → 自动签名（团队 ID + Bundle ID 一致就行）

CI/CD：
 5. GitLab CI 跑 fastlane match appstore --readonly
 6. fastlane build → altool 上传到 App Store Connect

上架：
 7. App Store Connect API（JWT）创建版本、提交审核
 8. 用 TestFlight 公开链接做灰度

对比 2017：从"邮件发 p12、群里问密码、找运维加 UDID" → “git pull + fastlane 一条命令”。工程师精力从 1 天降到 5 分钟。

7. 2024+ 关键工具版本

工具	2017 主流	2024 主流
Xcode	8.x	15.x / 16 beta（2024）
iOS SDK	iOS 10/11	iOS 17 / 18 beta
Swift	3.x	5.9 / 5.10
TestFlight	内测 25 人	100 + 10000 + 公开链接
证书管理	手动 / 邮件 p12	fastlane match + 自动签名
上传工具	Transporter GUI	xcrun altool + App Store Connect API
签名方式	手动	Xcode 自动签名
Provisioning Profile	手动生成	自动生成（Xcode 14+）

8. 一句话总结

2017 年的 iOS 签名是"每个工程师都要会手动申请证书“的工程师成年礼； 2024 年是”自动签名 + fastlane match + App Store Connect API + TestFlight 公开链接“的"零证书知识"时代。

新人不要再学手动签名——直接 fastlane match 拉仓库、Xcode 自动签名，几分钟搞定。

下一步

想把 IPA 上架 App Store，看 2019-11-15《iOS App Store 上架》
想用 Fastlane 自动化证书 + 打包，看 fastlane match 官方文档
想接 App Store Connect API，看 Apple 官方文档

参考资料

Apple Developer：https://developer.apple.com/account
证书管理：https://developer.apple.com/help/account
Bundle ID 命名规范：https://developer.apple.com/documentation/bundleresources
APNs 文档：https://developer.apple.com/documentation/usernotifications
App Store Connect API：https://developer.apple.com/documentation/appstoreconnectapi
fastlane match：https://docs.fastlane.tools/actions/match/
Xcode 自动签名：https://developer.apple.com/documentation/xcode/automatic-signing