open***部署

原創 半句再見 2019-02-22 21:17

環境版本

[root@test ~]# lsb_release -aLSB Version:    :core-4.1-amd64:core-4.1-noarch
Distributor ID: CentOSDescription:    CentOS Linux release 7.4.1708 (Core) 
Release:        7.4.1708Codename:       Core

open***-2.4.5-1.el7.x86_64
easy-rsa-3.0.3-1.el7.noarch123456789

安裝

關閉selinux
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig makecache
yum install -y open***
yum install -y easy-rsagroupadd open***
useradd -g open*** -M -s /sbin/nologin open***

mkdir /etc/open***/cp -R /usr/share/easy-rsa/ /etc/open***/cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf  /etc/open***/cp -r /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/open***/easy-rsa/3.0/vars1234567891011

配置文件

/etc/open***/server.conf

port 1194proto udp
dev tun
ca /etc/open***/easy-rsa/3.0/pki/ca.crt
cert /etc/open***/easy-rsa/3.0/pki/issued/wwwserver.crt
key /etc/open***/easy-rsa/3.0/pki/private/wwwserver.key
dh /etc/open***/easy-rsa/3.0/pki/dh.pem
tls-auth /etc/open***/ta.key 0server 10.8.1.0 255.255.255.0ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 223.5.5.5"push "dhcp-option DNS 114.114.114.114"keepalive 10 120cipher AES-256-CBCcomp-lzomax-clients 50user open***group open***
persist-keypersist-tunstatus open***-status.loglog-append  open***.logverb 3mute 2012345678910111213141516171819202122232425

/etc/open***/easy-rsa/3.0/vars 
去掉一下參數前面的#號

set_var EASYRSA                 "$PWD"set_var EASYRSA_PKI             "$EASYRSA/pki"set_var EASYRSA_DN              "cn_only"set_var EASYRSA_REQ_COUNTRY     "CN"set_var EASYRSA_REQ_PROVINCE    "BEIJING"set_var EASYRSA_REQ_CITY        "BEIJING"set_var EASYRSA_REQ_ORG         "Open××× CERTIFICATE AUTHORITY"set_var EASYRSA_REQ_EMAIL       "[email protected]"set_var EASYRSA_REQ_OU          "Open××× EASY CA"set_var EASYRSA_KEY_SIZE        2048set_var EASYRSA_ALGO            rsaset_var EASYRSA_CA_EXPIRE       7000set_var EASYRSA_CERT_EXPIRE     3650set_var EASYRSA_NS_SUPPORT      "no"set_var EASYRSA_NS_COMMENT      "Open××× CERTIFICATE AUTHORITY"set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"set_var EASYRSA_SSL_CONF        "$EASYRSA/openssl-1.0.cnf"set_var EASYRSA_DIGEST          "sha256"123456789101112131415161718

證書的創建

cd /etc/open***/easy-rsa/3.0./easyrsa init-pki初始化,會在當前目錄創建PKI目錄,用於存儲一些中間變量及最終生成的證書 
./easyrsa build-ca創建根證書,首先會提示設置密碼,用於ca對之後生成的server和client證書籤名時使用,然後會提示設置Country Name,State or Province Name,Locality Name,Organization Name,Organizational Unit Name,Common Name,Email Address,可以鍵入回車使用默認的,也可以手動更改 
設置ca密碼(輸入兩次):ca.com123456

這裏寫圖片描述

./easyrsa gen-dh
open*** --genkey --secret ta.keycp -r ta.key /etc/open***/123

創建服務端證書,生成請求,使用gen-req來生成req,創建server端證書和private key,可以使用nopass表示不加密private key,然後會提示設置Country Name,State or Province Name,Locality Name,Organization Name,Organizational Unit Name,Common Name,Email Address,可以鍵入回車使用默認的,也可以手動更改

./easyrsa  gen-req wwwserver

設置server密碼(輸入兩次):openserver.com123

這裏寫圖片描述
創建服務端證書、密碼openserver.com

簽發證書,簽約服務端證書,給server端證書做簽名,首先是對一些信息的確認,可以輸入yes,然後輸入build-ca時設置的那個密碼 
./easyrsa sign-req server wwwserver 
這裏寫圖片描述 
輸入yes簽發證書,輸入ca密碼:ca.com

生成windows客戶端用戶:

./easyrsa build-client-full testname#注意:生成客戶端用戶的時候會提示設置密碼#可以直按回車密碼爲空、也可以設置輸入密碼(如設置密碼,客戶端連接時需輸入密碼)123

生成客戶端證書,並設置密碼(客戶端連接時用) 
生成客戶端證書,並設置密碼(客戶端連接時用)

[root@gitlab ~]# ll /etc/open***/easy-rsa/3.0/pki/private/testname.key-rw------- 1 root root 1834 Apr 25 15:48 /etc/open***/easy-rsa/3.0/pki/private/testname.key
[root@gitlab ~]# ll  /etc/open***/easy-rsa/3.0/pki/issued/testname.crt-rw------- 1 root root 4438 Apr 25 15:48 /etc/open***/easy-rsa/3.0/pki/issued/testname.crt1234

操作系統設置

vim /etc/sysctl.conf
末尾加入
net.ipv4.ip_forward = 1保存後執行:sysctl -psystemctl start firewalld.service
firewall-cmd --state
firewall-cmd --zone=public --list-allfirewall-cmd --add-service=open*** --permanent
firewall-cmd --add-port=1194/tcp --permanent
firewall-cmd --add-port=1194/udp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-source=10.8.0.0 --permanent
firewall-cmd --query-source=10.8.0.0 --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --query-masquerade --permanent
firewall-cmd --reload
可以根據自己的需求開放端口123456789101112131415161718

啓動open*** 
systemctl start open***@server 
啓動時輸入服務端證書密碼:openserver.com

第一次啓動的時候可能會提示,重新執行systemctl start open***@server輸入密碼即可 
這裏寫圖片描述
這裏寫圖片描述

客戶端配置

客戶端open***版本2.4.5 
鏈接:https://pan.baidu.com/s/13ngQs9WSpQ0ZER5Q9lR-kg 密碼:kisi

客戶端需要的證書:testname.crt、testname.key、ca.crt、ta.key

get /etc/open***/easy-rsa/3.0/pki/private/testname.keyget /etc/open***/easy-rsa/3.0/pki/issued/testname.crtget /etc/open***/easy-rsa/3.0/pki/ca.crtget /etc/open***/ta.key12345

客戶端配置文件testname.o***(ip換爲open***服務器外網ip)

client
dev tun
proto udp
resolv-retry infinite
nobind
remote 47.175.155.184 1194  ns-cert-type server
comp-lzoca ca.crt
cert testname.crt
key testname.key
tls-auth ta.key 1keepalive 10 120persist-keypersist-tunverb 5redirect-gatewayroute-method exe
route-delay 2status testname-status.loglog-append testname.log123456789101112131415161718192021

安裝Open××× 2.4.5 x86_64後,清空config文件夾,將testname.crt、testname.key、ca.crt、ta.key、testname.o***放入config目錄中, 
配置完成後啓動,如果有設置密碼的話輸入密碼即可。

備註

1、如果需要創建其他用戶的話,按照上面的方式創建客戶端證書即可 
2、客戶端證書生成失敗,刪除文件即可 
rm -rf /etc/open***/easy-rsa/3.0/pki/reqs/username.req 
rm -rf /etc/open***/easy-rsa/3.0/pki/private/username.key 
3、刪除用戶證書 
cd /etc/open***/easy-rsa/3.0 
./easyrsa revoke username

生成CRL文件(撤銷證書的列表)
./easyrsa gen-crl123

4、服務啓停 
systemctl stop open***@server 
systemctl start open***@server


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

open***部署

半句再見 2018-09-11 05:00:45

【未完】關於ConditionalOnClass註解

1. pom文件 標籤 依賴配置文件我們經常接觸到,但對<optional>標籤理解可能一知半解(以我的角度,在這之前沒有關注過),或者是你沒看下面內容,都不知道optional應該放在什麼地方。 <optional>標籤在pom文件中長

帥氣的濤啊 2024-05-14 14:37:18

Mellanox網卡開啓SR-IOV

Mellanox網卡開啓SR-IOV SR-IOV是網卡虛擬化的一個重要功能。本文講介紹如何在Mellanox網卡上開啓SR-IOV,並創建一些VF。 參考:Mellanox網卡開啓SR-IOV方法簡介-天翼雲開發者社區 - 天翼雲 (ct

CQzhangyu 2024-05-14 14:33:58

linux安裝cuda和cudnn

// 安裝cuda wget https://developer.download.nvidia.com/compute/cuda/repos/wsl-ubuntu/x86_64/cuda-wsl-ubuntu.pinsudo mv cud

aozengling 2024-05-14 14:33:48

連接SQL Server報錯

將框架從.NET6升級到8,順便將各種依賴包也升級,容器化部署到測試環境後,SQL Server連接不了了: [2024-05-13 13:48:10 ERR] [Microsoft.EntityFrameworkCore.Databas

雪飛鴻 2024-05-14 14:29:37

uni-app實現上拉加載

  參考文檔代碼: 1 <template> 2 <view> 3 <!-- 省略其他內容 --> 4 <view v-for="item in dataList" :key="item.id">{{ item

賴忠標 2024-05-14 14:29:07

全面系統的AI學習路徑,幫助普通人也能玩轉AI

前言 現如今AI技術和應用的發展可謂是如火如荼,它們在各個領域都展現出了巨大的潛力和影響力。AI的出現對於我們這些普通人而言也是影響匪淺,比如說使用AI工具GPT來寫文檔查問題、使用AI輔助編程工具幫助我們寫代碼、並且可是使用AI來實現人工

追逐時光 2024-05-14 14:27:17

vue3編譯優化之“靜態提升”

前言 在上一篇 vue3早已具備拋棄虛擬DOM的能力了文章中講了對於動態節點,vue做的優化是將這些動態節點收集起來,然後當響應式變量修改後進行靶向更新。那麼vue對靜態節點有沒有做什麼優化呢?答案是:當然有,對於靜態節點會進行“靜態提升”

你假裝沒察覺 2024-05-14 14:26:37

計劃做點事情-跳槽

【最近想做什麼了】 最近想跳槽了 【爲什麼要做這個】 現在的待遇有點低,或者說是太低了,想起來就覺得慘,難受,羞愧; 目前看,在當前公司沒有發展前景,升級調薪機會不大,也太慢了;轉崗OD要再等一年多,而且,政策千變萬化,到時候大概率就不滿

eonie 2024-05-14 14:25:27

又是一個月-20240513

【今天又是什麼日子】 今天 是2024年5月13日,五一假期補班後第一週的第一天; 是母親節,結婚一週年紀念日的第一天; 是某個同事在職的最後一天; 是又忙忙碌碌一個月一事無成後的普通的一天; 【上次來是什麼時候】 上次是2024年4月8日

eonie 2024-05-14 14:25:27

linux服務器設置ssh免密

http://www.mobiletrain.org/about/BBS/150708.html

張博的博客 2024-05-14 14:25:07

flask 如何保證返回json有序

return Response(json.dumps(ret), mimetype='application/json') return jsonify(med_data[int(req_data['from']):int

張博的博客 2024-05-14 14:25:07

cmakelist的一個例子

一個例子,僅做參考用:   CMAKE_MINIMUM_REQUIRED(VERSION 3.12) set(ProjName "NetworkTest") project(${ProjName}) string(FIND ${CMAK

xcywt 2024-05-14 14:18:46

apisix~lua插件開發與插件註冊

開發插件的步驟 在APISIX中,要自定義插件,一般需要按照以下步驟進行操作: 編寫Lua腳本:首先,你需要編寫Lua腳本來實現你想要的功能。可以根據APISIX提供的插件開發文檔和示例進行編寫。 將Lua腳本放置到APISIX插件

張佔嶺 2024-05-14 14:17:56

apisix~自定義插件的部署

參考 https://docs.api7.ai/apisix/how-to-guide/custom-plugins/create-plugin-in-lua https://apisix.apache.org/docs/apisix/n

張佔嶺 2024-05-14 14:17:56