OpenVPN 是一個基于 OpenSSL 庫的應用層 VPN 實現(xiàn)。和傳統(tǒng) VPN 相比��,它的優(yōu)點是簡單易用�。
創(chuàng)新互聯(lián)公司是一家專注網(wǎng)站建設�����、網(wǎng)絡營銷策劃�、小程序設計��、電子商務建設�、網(wǎng)絡推廣、移動互聯(lián)開發(fā)�、研究、服務為一體的技術型公司����。公司成立10余年以來,已經(jīng)為成百上千小攪拌車各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務?����,F(xiàn)在,服務的成百上千客戶與我們一路同行����,見證我們的成長;未來�����,我們一起分享成功的喜悅���。
OpenVPN 允許參與建立 VPN 的單點使用共享金鑰�,電子證書��,或者用戶名/密碼來進行身份驗證��。它大量使用了 OpenSSL 加密庫中的 SSLv3 /TLSv1 協(xié)議函式庫�。OpenVPN 能在 Solaris、Linux����、OpenBSD、FreeBSD���、NetBSD�、Mac OS X 與 Windows 上運行��,并包含了許多安全性的功能��。
準備工作
-
-
-
-
-
客戶端openvpn版本2.4.8 :下載地址: https://swupdate.openvpn.org/community/releases/openvpn-2.4.8.tar.gz
關閉selinux
[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config
[root@localhost ~]# setenforce 0
安裝epel倉庫和openvpn, Easy-RSA
[root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa
配置EASY-RSA 3.0
在/etc/openvpn文件夾下面創(chuàng)建easy-rsa文件夾��,并把相關文件復制進去
[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars
創(chuàng)建OpenVPN相關的密鑰
我們將創(chuàng)建CA密鑰�,server端、client端密鑰�,DH和CRL PEM, TLS認證鑰匙ta.key。
[root@localhost easy-rsa]# cd /etc/openvpn/easy-rsa/
初始化并建立CA證書
創(chuàng)建服務端和客戶端密鑰之前��,需要初始化PKI目錄
[root@localhost easy-rsa]# ./easyrsa init-pki
[root@localhost easy-rsa]# ./easyrsa build-ca nopass
創(chuàng)建服務器密鑰
創(chuàng)建服務器密鑰名稱為 server1.key
[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass
添加nopass 選項�����,是指不需要為密鑰添加密碼���。
用CA證書簽署server1密鑰
[root@localhost easy-rsa]# ./easyrsa sign-req server server1
創(chuàng)建客戶端密鑰
創(chuàng)建客戶端密鑰名稱為 client1.key
[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass
用CA證書簽署client1密鑰
[root@localhost easy-rsa]# ./easyrsa sign-req client client1
創(chuàng)建DH密鑰
根據(jù)在頂部創(chuàng)建的vars配置文件生成2048位的密鑰
[root@localhost easy-rsa]# ./easyrsa gen-dh
創(chuàng)建TLS認證密鑰
[root@localhost easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key
生成 證書撤銷列表(CRL)密鑰
CRL(證書撤銷列表)密鑰用于撤銷客戶端密鑰�����。如果服務器上有多個客戶端證書��,希望刪除某個密鑰�����,那么只需使用./easyrsa revoke NAME這個命令撤銷即可�。
生成CRL密鑰:
[root@localhost easy-rsa]# ./easyrsa gen-crl
復制證書文件
復制ca證書,ta.key和server端證書及密鑰到/etc/openvpn/server文件夾里
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/server/
復制ca證書��,ta.key和client端證書及密鑰到/etc/openvpn/client文件夾里
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/client/
復制dh.pem , crl.pem到/etc/openvpn/client文件夾里
[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/server/
[root@localhost easy-rsa]# cp pki/crl.pem /etc/openvpn/server/
網(wǎng)頁題目:Centos7.7部署OpenVPN(上)
本文地址:
http://uogjgqi.cn/article/dphsgde.html
