*** 注意是 V皮嗯,指令行要注意自己替換,在此表示抗議。
一、open***原理
open***通過使用公開密鑰(非對稱密鑰,加密解密使用不同的key,一個稱為Publice key,另外一個是Private key)對資料進行加密的。這種方式稱為TLS加密
open***使用TLS加密的工作過程是,首先*** Sevrver端和*** Client端要有相同的CA憑證,雙方通過交換證書驗證雙方的合法性,用于決定是否建立***連接配接。
然後使用對方的CA憑證,把自己目前使用的資料加密方法加密後發送給對方,由于使用的是對方CA憑證加密,是以隻有對方CA憑證對應的Private key才能解密該資料,這樣就保證了此密鑰的安全性,并且此密鑰是定期改變的,對于竊聽者來說,可能還沒有破解出此密鑰,***通信雙方可能就已經更換密鑰了。
二、安裝open***和easy-rsa
安裝完成後,可以查下open***版本
我們可以看到open***目前的版本為2.4.4。這個版本号,建議記住。
可以用 rpm -ql open*** 和 rpm -ql easy-rsa 檢視安裝的檔案
三、制作相關證書
1、制作CA憑證
設定自動應答變量,修改vars檔案
其中export KEY_NAME="babyshen"這個要記住下,我們下面在制作Server端證書時,會使用到。
會看到已經生成了ca.crt和ca.key兩個檔案,其中ca.crt就是我們所說的CA憑證。如此,CA憑證制作完畢。
把該CA憑證的ca.crt檔案複制到open***的啟動目錄/etc/open***下
2、制作server端證書
已經生成了babyshen.crt、babyshen.key和babyshen.csr三個檔案。其中babyshen.crt和babyshen.key兩個檔案是我們要使用的。
現在再為伺服器生成加密交換時的Diffie-Hellman檔案
将伺服器密鑰和證書全部複制到Open***目錄中。
3、制作client端證書
client名字可以自己修改
如果你想快速生成使用者證書不需要手工互動的話,可以使用如下指令:
生成的三個檔案中,client.crt和client.key兩個檔案是我們要使用的。
四、配置server端
複制示例server.conf檔案作為我們自己的配置檔案,然後修改
啟動opvn***
五、配置windows client 端
安裝open*** for windows用戶端,我們可以從這個位址下載下傳,如下:http://build.open***.net/downloads/releases/
注意:下載下傳的用戶端版本号一定要與伺服器端open***的版本一直,否則可能會出現無法連接配接伺服器的現象。
我們現在伺服器端的open***版本是2.4.4,是以用戶端也建議使用2.4.4的版本
把CA憑證,還有client.crt和client.key 通過sftp将這三個檔案導出放到windows open***的任意安裝目錄,建議在config目錄下建立一個檔案夾,将這三個檔案放進去
在剛才和ca證書相同的目錄下建立檔案 client.o***
内容如下
到此所有配置已完成。
linux上開啟路由轉發
開啟位址NAT轉換
注:如果想把推送的路由檔案單獨提取出來放到一個檔案,可以用兩次--config 即可
例:
六、配置 linux client 用戶端
建立配置檔案 client.conf,複制 client.crt,client.key 到目前配置目錄下
内容如下:
執行
如果多台伺服器都需要部署open***,那麼也不用一台一台安裝。
很簡單,将上面的open***執行檔案還有/etc/open*** 目錄直接複制到需要部署的伺服器即可使用,但是可能會少一些庫檔案,可以用ldd檢視,然後從安裝的伺服器傳過去即可。
1) 附件會包含open***執行檔案,還有所需要的庫檔案,放到 /usr/lib64 下 。
2) 附件會包含easy-rsa目錄,便于大家生成證書檔案,免去安裝過程
3) 附件會包含open*** for windows用戶端安裝包,(因為多種原因build.open***.net會打不開)
附件下載下傳位址:
連結: https://pan.baidu.com/s/1mh9acdE 密碼: 5mu3