CentOS7搭建open***

[root@myzdl ~]# yum install open*** easy-rsa lzo lzo-devel openssl openssl-devel -y //安裝服務
[root@myzdl ~]# ls /etc/open***/ //open***服務安裝的所在目錄
client server
[root@myzdl ~]# ls /usr/share/easy-rsa/ //easy-rsa安裝的所在目錄
3 3.0 3.0.3
[root@myzdl ~]# ls /usr/sbin/open*** //服務的啓動腳本所在目錄
/usr/sbin/open***

創建服務器證書和CA根證書：
[root@myzdl ~]# find / -name "vars.example" -type f //知道證書參數模版
/usr/share/doc/easy-rsa-3.0.3/vars.example
[root@myzdl ~]# cd /usr/share/easy-rsa/3.0.3/
[root@myzdl 3.0.3]# cp /usr/share/doc/easy-rsa-3.0.3/vars.example vars //生成證書的一些默認參數在裏面設置
[root@myzdl 3.0.3]# vi vars //修改默認參數，如圖

這裏如果後面客戶端配置中配置了"ns-cert-type server" 參數，則需要設置下面參數爲yes,來創建證書
#set_var EASYRSA_NS_SUPPORT "no"

[root@myzdl 3.0.3]# ./easyrsa init-pki //生成新的pki目錄結構
[root@myzdl 3.0.3]# ./easyrsa build-ca nopass //創建CA根證書，不需要密碼，回車。（得到ca.crt）

[root@myzdl 3.0.3]# ./easyrsa gen-req ***server nopass //生成密鑰對和證書請求文件，不需要密碼，回車。（得到***server.req、***server.key）

[root@myzdl 3.0.3]# ./easyrsa sign server ***server //用根證書CA與***server.req文件簽名，生成服務端證書。（得到***server.crt）

[root@myzdl 3.0.3]# ./easyrsa gen-dh //創建Diffie Hellman參數
[root@myzdl easy-rsa]# cp -R 3.0.3/ /root/Desktop //將3.0.3/目錄複製到桌面，等會會用到。

創建客戶端證書：
[root@myzdl 3.0.3]# rm -rf pki/ //需要刪除舊的pki,重新創建
[root@myzdl 3.0.3]# ./easyrsa init-pki
[root@myzdl 3.0.3]# ./easyrsa gen-req client nopass //生成密鑰對和證書請求文件，不需要密碼，回車。（得到client.req、client.key）

剛纔我們是用根證書CA簽名生成服務器證書***server.crt，現在以CA根證書和***server.crt證書籤名得到client.crt
[root@myzdl 3.0.3]# cp pki/reqs/client.req /root/Desktop/3.0.3/pki/reqs/
[root@myzdl 3.0.3]# cp pki/private/client.key /root/Desktop/3.0.3/pki/private/
[root@myzdl 3.0.3]# cd /root/Desktop/3.0.3/
[root@myzdl 3.0.3]# ./easyrsa sign client client //成功生成證書client.crt

完成以上步驟服務器端需要的文件有：ca.crt 、dh.pem 、***server.crt 、***server.key
客戶端需要的文件有：ca.crt 、client.key 、client.crt

---

_

以證書方式認證：
[root@myzdl 3.0.3]# pwd
/root/Desktop/3.0.3
[root@myzdl 3.0.3]# cp pki/{ca.crt,dh.pem} /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/private/***server.key /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/issued/***server.crt /etc/open***/server/
[root@myzdl 3.0.3]# find / -name "server.conf" -type f //查找配置文件所在位置
/usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf
/usr/share/doc/NetworkManager/examples/server.conf
[root@myzdl 3.0.3]# cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***/server/ //複製配置文件到這裏來
[root@myzdl 3.0.3]# cd /etc/open***/server/

root@myzdl server]# vi server.conf //編輯配置文件
[root@myzdl server]# cat server.conf |grep -v ^#|grep -v ^$|grep -v ^";"

[root@myzdl server]# /usr/sbin/open*** --config ./server.conf --daemon //啓動服務
[root@myzdl server]# netstat -anulp | grep 1194

[root@myzdl server]# firewall-cmd --add-service=open*** --zone=public --permanent
[root@myzdl server]# firewall-cmd --reload //防火牆放通***端口數據
配置客戶端，將上面所列的客戶端文件想辦法弄到客戶端上（ca.crt 、client.key 、client.crt）。
安裝步驟：