*** 注意是 V皮嗯,命令行要注意自己替换,在此表示抗议。
一、open***原理
open***通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Publice key,另外一个是Private key)对数据进行加密的。这种方式称为TLS加密
open***使用TLS加密的工作过程是,首先*** Sevrver端和*** Client端要有相同的CA证书,双方通过交换证书验证双方的合法性,用于决定是否建立***连接。
然后使用对方的CA证书,把自己目前使用的数据加密方法加密后发送给对方,由于使用的是对方CA证书加密,所以只有对方CA证书对应的Private key才能解密该数据,这样就保证了此密钥的安全性,并且此密钥是定期改变的,对于窃听者来说,可能还没有破解出此密钥,***通信双方可能就已经更换密钥了。
二、安装open***和easy-rsa
安装完成后,可以查下open***版本
我们可以看到open***目前的版本为2.4.4。这个版本号,建议记住。
可以用 rpm -ql open*** 和 rpm -ql easy-rsa 查看安装的文件
三、制作相关证书
1、制作CA证书
设置自动应答变量,修改vars文件
其中export KEY_NAME="babyshen"这个要记住下,我们下面在制作Server端证书时,会使用到。
会看到已经生成了ca.crt和ca.key两个文件,其中ca.crt就是我们所说的CA证书。如此,CA证书制作完毕。
把该CA证书的ca.crt文件复制到open***的启动目录/etc/open***下
2、制作server端证书
已经生成了babyshen.crt、babyshen.key和babyshen.csr三个文件。其中babyshen.crt和babyshen.key两个文件是我们要使用的。
现在再为服务器生成加密交换时的Diffie-Hellman文件
将服务器密钥和证书全部复制到Open***目录中。
3、制作client端证书
client名字可以自己修改
如果你想快速生成用户证书不需要手工交互的话,可以使用如下命令:
生成的三个文件中,client.crt和client.key两个文件是我们要使用的。
四、配置server端
复制示例server.conf文件作为我们自己的配置文件,然后修改
启动opvn***
五、配置windows client 端
安装open*** for windows客户端,我们可以从这个地址下载,如下:http://build.open***.net/downloads/releases/
注意:下载的客户端版本号一定要与服务器端open***的版本一直,否则可能会出现无法连接服务器的现象。
我们现在服务器端的open***版本是2.4.4,所以客户端也建议使用2.4.4的版本
把CA证书,还有client.crt和client.key 通过sftp将这三个文件导出放到windows open***的任意安装目录,建议在config目录下新建一个文件夹,将这三个文件放进去
在刚才和ca证书相同的目录下新建文件 client.o***
内容如下
到此所有配置已完成。
linux上开启路由转发
开启地址NAT转换
注:如果想把推送的路由文件单独提取出来放到一个文件,可以用两次--config 即可
例:
六、配置 linux client 客户端
创建配置文件 client.conf,复制 client.crt,client.key 到当前配置目录下
内容如下:
执行
如果多台服务器都需要部署open***,那么也不用一台一台安装。
很简单,将上面的open***执行文件还有/etc/open*** 目录直接复制到需要部署的服务器即可使用,但是可能会少一些库文件,可以用ldd查看,然后从安装的服务器传过去即可。
1) 附件会包含open***执行文件,还有所需要的库文件,放到 /usr/lib64 下 。
2) 附件会包含easy-rsa目录,便于大家生成证书文件,免去安装过程
3) 附件会包含open*** for windows客户端安装包,(因为多种原因build.open***.net会打不开)
附件下载地址:
链接: https://pan.baidu.com/s/1mh9acdE 密码: 5mu3