Linux 搭建Open***伺服器

*** 注意是 V皮嗯，指令行要注意自己替換，在此表示抗議。

一、open***原理

open***通過使用公開密鑰（非對稱密鑰，加密解密使用不同的key，一個稱為Publice key，另外一個是Private key）對資料進行加密的。這種方式稱為TLS加密

open***使用TLS加密的工作過程是，首先*** Sevrver端和*** Client端要有相同的CA憑證，雙方通過交換證書驗證雙方的合法性，用于決定是否建立***連接配接。

然後使用對方的CA憑證，把自己目前使用的資料加密方法加密後發送給對方，由于使用的是對方CA憑證加密，是以隻有對方CA憑證對應的Private key才能解密該資料，這樣就保證了此密鑰的安全性，并且此密鑰是定期改變的，對于竊聽者來說，可能還沒有破解出此密鑰，***通信雙方可能就已經更換密鑰了。

二、安裝open***和easy-rsa

安裝完成後，可以查下open***版本

我們可以看到open***目前的版本為2.4.4。這個版本号，建議記住。

可以用 rpm -ql open*** 和 rpm -ql easy-rsa  檢視安裝的檔案

三、制作相關證書

1、制作CA憑證

設定自動應答變量,修改vars檔案

其中export KEY_NAME="babyshen"這個要記住下，我們下面在制作Server端證書時，會使用到。

會看到已經生成了ca.crt和ca.key兩個檔案，其中ca.crt就是我們所說的CA憑證。如此，CA憑證制作完畢。

把該CA憑證的ca.crt檔案複制到open***的啟動目錄/etc/open***下

2、制作server端證書

已經生成了babyshen.crt、babyshen.key和babyshen.csr三個檔案。其中babyshen.crt和babyshen.key兩個檔案是我們要使用的。

現在再為伺服器生成加密交換時的Diffie-Hellman檔案

将伺服器密鑰和證書全部複制到Open***目錄中。

3、制作client端證書

client名字可以自己修改

如果你想快速生成使用者證書不需要手工互動的話，可以使用如下指令：

生成的三個檔案中，client.crt和client.key兩個檔案是我們要使用的。

四、配置server端

複制示例server.conf檔案作為我們自己的配置檔案，然後修改

啟動opvn*** 

五、配置windows client 端

安裝open*** for windows用戶端，我們可以從這個位址下載下傳，如下：http://build.open***.net/downloads/releases/

注意：下載下傳的用戶端版本号一定要與伺服器端open***的版本一直，否則可能會出現無法連接配接伺服器的現象。

我們現在伺服器端的open***版本是2.4.4，是以用戶端也建議使用2.4.4的版本

把CA憑證，還有client.crt和client.key 通過sftp将這三個檔案導出放到windows open***的任意安裝目錄，建議在config目錄下建立一個檔案夾，将這三個檔案放進去

在剛才和ca證書相同的目錄下建立檔案 client.o*** 

内容如下

到此所有配置已完成。

linux上開啟路由轉發

開啟位址NAT轉換

注：如果想把推送的路由檔案單獨提取出來放到一個檔案，可以用兩次--config 即可

例：

六、配置 linux client 用戶端

建立配置檔案  client.conf，複制 client.crt，client.key 到目前配置目錄下

内容如下：

執行 

如果多台伺服器都需要部署open***，那麼也不用一台一台安裝。

很簡單，将上面的open***執行檔案還有/etc/open*** 目錄直接複制到需要部署的伺服器即可使用，但是可能會少一些庫檔案，可以用ldd檢視，然後從安裝的伺服器傳過去即可。

1) 附件會包含open***執行檔案，還有所需要的庫檔案，放到 /usr/lib64 下 。

2) 附件會包含easy-rsa目錄，便于大家生成證書檔案，免去安裝過程

3) 附件會包含open*** for windows用戶端安裝包，（因為多種原因build.open***.net會打不開）

附件下載下傳位址：

連結: https://pan.baidu.com/s/1mh9acdE 密碼: 5mu3