Linux 搭建Open***服务器

*** 注意是 V皮嗯，命令行要注意自己替换，在此表示抗议。

一、open***原理

open***通过使用公开密钥（非对称密钥，加密解密使用不同的key，一个称为Publice key，另外一个是Private key）对数据进行加密的。这种方式称为TLS加密

open***使用TLS加密的工作过程是，首先*** Sevrver端和*** Client端要有相同的CA证书，双方通过交换证书验证双方的合法性，用于决定是否建立***连接。

然后使用对方的CA证书，把自己目前使用的数据加密方法加密后发送给对方，由于使用的是对方CA证书加密，所以只有对方CA证书对应的Private key才能解密该数据，这样就保证了此密钥的安全性，并且此密钥是定期改变的，对于窃听者来说，可能还没有破解出此密钥，***通信双方可能就已经更换密钥了。

二、安装open***和easy-rsa

安装完成后，可以查下open***版本

我们可以看到open***目前的版本为2.4.4。这个版本号，建议记住。

可以用 rpm -ql open*** 和 rpm -ql easy-rsa  查看安装的文件

三、制作相关证书

1、制作CA证书

设置自动应答变量,修改vars文件

其中export KEY_NAME="babyshen"这个要记住下，我们下面在制作Server端证书时，会使用到。

会看到已经生成了ca.crt和ca.key两个文件，其中ca.crt就是我们所说的CA证书。如此，CA证书制作完毕。

把该CA证书的ca.crt文件复制到open***的启动目录/etc/open***下

2、制作server端证书

已经生成了babyshen.crt、babyshen.key和babyshen.csr三个文件。其中babyshen.crt和babyshen.key两个文件是我们要使用的。

现在再为服务器生成加密交换时的Diffie-Hellman文件

将服务器密钥和证书全部复制到Open***目录中。

3、制作client端证书

client名字可以自己修改

如果你想快速生成用户证书不需要手工交互的话，可以使用如下命令：

生成的三个文件中，client.crt和client.key两个文件是我们要使用的。

四、配置server端

复制示例server.conf文件作为我们自己的配置文件，然后修改

启动opvn*** 

五、配置windows client 端

安装open*** for windows客户端，我们可以从这个地址下载，如下：http://build.open***.net/downloads/releases/

注意：下载的客户端版本号一定要与服务器端open***的版本一直，否则可能会出现无法连接服务器的现象。

我们现在服务器端的open***版本是2.4.4，所以客户端也建议使用2.4.4的版本

把CA证书，还有client.crt和client.key 通过sftp将这三个文件导出放到windows open***的任意安装目录，建议在config目录下新建一个文件夹，将这三个文件放进去

在刚才和ca证书相同的目录下新建文件 client.o*** 

内容如下

到此所有配置已完成。

linux上开启路由转发

开启地址NAT转换

注：如果想把推送的路由文件单独提取出来放到一个文件，可以用两次--config 即可

例：

六、配置 linux client 客户端

创建配置文件  client.conf，复制 client.crt，client.key 到当前配置目录下

内容如下：

执行 

如果多台服务器都需要部署open***，那么也不用一台一台安装。

很简单，将上面的open***执行文件还有/etc/open*** 目录直接复制到需要部署的服务器即可使用，但是可能会少一些库文件，可以用ldd查看，然后从安装的服务器传过去即可。

1) 附件会包含open***执行文件，还有所需要的库文件，放到 /usr/lib64 下 。

2) 附件会包含easy-rsa目录，便于大家生成证书文件，免去安装过程

3) 附件会包含open*** for windows客户端安装包，（因为多种原因build.open***.net会打不开）

附件下载地址：

链接: https://pan.baidu.com/s/1mh9acdE 密码: 5mu3