Centos7.7 配置Open*** (一)

Open***是一個開源的應用程序,它允許您通過公共互聯網創建一個安全的專用網絡。Open***實現一個虛擬專用網(***)來創建一個安全連接。

Open***是一個開源的應用程序,它允許您通過公共互聯網創建一個安全的專用網絡。Open***實現一個虛擬專用網(***)來創建一個安全連接。Open***使用OpenSSL庫提供加密,它提供了幾種身份驗證機制,如基於證書的、預共享密鑰和用戶名/密碼身份驗證。

在本教程中,我們將向您展示如何在CentOS 7.7服務器上逐步安裝和配置Open***。實現基於證書的Open***認證。

準備工作

關閉selinux

[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config
[root@localhost ~]# setenforce 0

安裝epel倉庫和open***, Easy-RSA

[root@localhost ~]# yum -y install epel-release && yum -y install open*** easy-rsa

配置EASY-RSA 3.0

在/etc/open***文件夾下面創建easy-rsa文件夾,並把相關文件複製進去

[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/open***/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/open***/easy-rsa/vars

創建Open***相關的密鑰

我們將創建CA密鑰,server端、client端密鑰,DH和CRL PEM, TLS認證鑰匙ta.key。

[root@localhost easy-rsa]# cd /etc/open***/easy-rsa/

初始化並建立CA證書

創建服務端和客戶端密鑰之前,需要初始化PKI目錄

[root@localhost easy-rsa]# ./easyrsa init-pki

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

[root@localhost easy-rsa]# ./easyrsa build-ca nopass

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

創建服務器密鑰

創建服務器密鑰名稱爲 server1.key

[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass

添加nopass 選項,是指不需要爲密鑰添加密碼。
Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

用CA證書籤署server1密鑰

[root@localhost easy-rsa]# ./easyrsa sign-req server server1

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

創建客戶端密鑰

創建客戶端密鑰名稱爲 client1.key

[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

用CA證書籤署client1密鑰

[root@localhost easy-rsa]# ./easyrsa sign-req client client1

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

創建DH密鑰

根據在頂部創建的vars配置文件生成2048位的密鑰

[root@localhost easy-rsa]# ./easyrsa gen-dh

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

創建TLS認證密鑰

[root@localhost easy-rsa]# open*** --genkey --secret /etc/open***/easy-rsa/ta.key

生成 證書撤銷列表(CRL)密鑰

CRL(證書撤銷列表)密鑰用於撤銷客戶端密鑰。如果服務器上有多個客戶端證書,希望刪除某個密鑰,那麼只需使用./easyrsa revoke NAME這個命令撤銷即可。

生成CRL密鑰:

[root@localhost easy-rsa]# ./easyrsa  gen-crl

Centos7.7 配置Open*** (一)Centos7.7 配置Open*** (一)

複製證書文件

複製ca證書,ta.key和server端證書及密鑰到/etc/open***/server文件夾裏

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open***/server/
[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/open***/server/
[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/open***/server/
[root@localhost easy-rsa]# cp -p ta.key /etc/open***/server/

複製ca證書,ta.key和client端證書及密鑰到/etc/open***/client文件夾裏

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open***/client/
[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/open***/client/
[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/open***/client/
[root@localhost easy-rsa]# cp -p ta.key /etc/open***/client/

複製dh.pem , crl.pem到/etc/open***/client文件夾裏

[root@localhost easy-rsa]# cp pki/dh.pem /etc/open***/server/
[root@localhost easy-rsa]# cp pki/crl.pem /etc/open***/server/


編輯:逄增寶,審覈員:逄增寶


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章