Open***是一個開源的應用程序,它允許您通過公共互聯網創建一個安全的專用網絡。Open***實現一個虛擬專用網(***)來創建一個安全連接。 |
Open***是一個開源的應用程序,它允許您通過公共互聯網創建一個安全的專用網絡。Open***實現一個虛擬專用網(***)來創建一個安全連接。Open***使用OpenSSL庫提供加密,它提供了幾種身份驗證機制,如基於證書的、預共享密鑰和用戶名/密碼身份驗證。
在本教程中,我們將向您展示如何在CentOS 7.7服務器上逐步安裝和配置Open***。實現基於證書的Open***認證。
準備工作
Centos7.7 作爲服務端
Windows 10 作爲客戶端
Easy-RSA 3.0.6
服務端open***版本 2.4.8
客戶端open***版本2.4.8 :下載地址: https://swupdate.open***.org/community/releases/open***-2.4.8.tar.gz
關閉selinux
[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config [root@localhost ~]# setenforce 0
安裝epel倉庫和open***, Easy-RSA
[root@localhost ~]# yum -y install epel-release && yum -y install open*** easy-rsa
配置EASY-RSA 3.0
在/etc/open***文件夾下面創建easy-rsa文件夾,並把相關文件複製進去
[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/open***/easy-rsa/ [root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/open***/easy-rsa/vars
創建Open***相關的密鑰
我們將創建CA密鑰,server端、client端密鑰,DH和CRL PEM, TLS認證鑰匙ta.key。
[root@localhost easy-rsa]# cd /etc/open***/easy-rsa/
初始化並建立CA證書
創建服務端和客戶端密鑰之前,需要初始化PKI目錄
[root@localhost easy-rsa]# ./easyrsa init-pki
[root@localhost easy-rsa]# ./easyrsa build-ca nopass
創建服務器密鑰
創建服務器密鑰名稱爲 server1.key
[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass
添加nopass 選項,是指不需要爲密鑰添加密碼。
用CA證書籤署server1密鑰
[root@localhost easy-rsa]# ./easyrsa sign-req server server1
創建客戶端密鑰
創建客戶端密鑰名稱爲 client1.key
[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass
用CA證書籤署client1密鑰
[root@localhost easy-rsa]# ./easyrsa sign-req client client1
創建DH密鑰
根據在頂部創建的vars配置文件生成2048位的密鑰
[root@localhost easy-rsa]# ./easyrsa gen-dh
創建TLS認證密鑰
[root@localhost easy-rsa]# open*** --genkey --secret /etc/open***/easy-rsa/ta.key
生成 證書撤銷列表(CRL)密鑰
CRL(證書撤銷列表)密鑰用於撤銷客戶端密鑰。如果服務器上有多個客戶端證書,希望刪除某個密鑰,那麼只需使用./easyrsa revoke NAME這個命令撤銷即可。
生成CRL密鑰:
[root@localhost easy-rsa]# ./easyrsa gen-crl
複製證書文件
複製ca證書,ta.key和server端證書及密鑰到/etc/open***/server文件夾裏
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open***/server/ [root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/open***/server/ [root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/open***/server/ [root@localhost easy-rsa]# cp -p ta.key /etc/open***/server/
複製ca證書,ta.key和client端證書及密鑰到/etc/open***/client文件夾裏
[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/open***/client/ [root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/open***/client/ [root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/open***/client/ [root@localhost easy-rsa]# cp -p ta.key /etc/open***/client/
複製dh.pem , crl.pem到/etc/open***/client文件夾裏
[root@localhost easy-rsa]# cp pki/dh.pem /etc/open***/server/ [root@localhost easy-rsa]# cp pki/crl.pem /etc/open***/server/
編輯:逄增寶,審覈員:逄增寶