資源描述:
《OpenVPN_服務(wù)搭建》由會員上傳分享����,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�����、OpenVPN--------------時間:2014-7-7-------------------深圳運維組如果你想要更多的不僅僅是預(yù)共享密鑰的OpenVPN可以很容易地設(shè)置和使用公共密鑰基礎(chǔ)設(shè)施(PKI)來使用SSL/TLS證書進(jìn)行身份驗證和VPN服務(wù)器和客戶端之間的密鑰交換��。OpenVPN可以在路由中使用或橋連的VPN模式�,并且可以配置為使用UDP或TCP,端口號可以配置為其他的�,但官方默認(rèn)端口是1194,而且它僅使用了單端口的所有通信��。OpenVPN的客戶端可用于幾乎所有的系統(tǒng)��,包括所有的Lin
2�����、ux發(fā)行版����,MacOSX,Windows和OpenWRT的基于無線局域網(wǎng)的路由器���。實驗網(wǎng)絡(luò)拓?fù)鋱D:目錄OpenVPN11.服務(wù)器安裝32.公鑰基礎(chǔ)設(shè)施設(shè)置32.1證書頒發(fā)機構(gòu)設(shè)置32.2服務(wù)器證書42.3客戶端證書53.服務(wù)器配置54.客戶端配置75.故障排查95.1錯誤一:95.2錯誤二:96.客戶端軟件的實現(xiàn)106.1Linux的網(wǎng)絡(luò)管理器圖形用戶界面的OpenVPN106.2Linux的文本界面的OpenVPN106.3OpenVPN的帶有GUI為Win7或WinXP111.服務(wù)器安裝要安裝Open
3�、VPN的?,請在終端輸入:$sudo–s##輸入密碼切換到root��,后面的操作均是在root用戶下進(jìn)行�����。#apt-getinstallopenvpneasy-rsa2.公鑰基礎(chǔ)設(shè)施設(shè)置構(gòu)建的OpenVPN配置的第一步是建立一個公鑰基礎(chǔ)設(shè)施(PKI)���,公鑰基礎(chǔ)設(shè)施包括:1.一個單獨的證書(也稱為公鑰)和私鑰的服務(wù)器和每個客戶端�,2.這是用來簽署每個服務(wù)器和客戶端證書的大師證書頒發(fā)機構(gòu)(CA)的證書和密鑰��。OpenVPN的支持基于證書的雙向認(rèn)證��,這意味著客戶端必須驗證服務(wù)器證書在互信建立之前�����,服務(wù)器也必須驗證
4��、客戶端證書��。服務(wù)器和客戶端將驗證對方先核實該提供的證書是由主證書頒發(fā)機構(gòu)(CA)簽署��,然后通過在現(xiàn)在驗證的證書的頭���,如證書的通用名稱或證書類型測試信息(客戶端或服務(wù)器)����。2.1證書頒發(fā)機構(gòu)設(shè)置要建立你自己的證書頒發(fā)機構(gòu)(CA)和產(chǎn)生的證書和密鑰的OpenVPN服務(wù)器多個客戶端的easy-rsa目錄先復(fù)制到/etc/openvpn�。這將確保任何更改腳本包時更新也不會丟失。從終端的變化��,以root用戶:mkdir/etc/openvpn/easy-rsa/cp-r/usr/share/easy-rsa/*/e
5�、tc/openvpn/easy-rsa/接下來,編輯的/etc/openvpn/easy-rsa/vars調(diào)整到適合您的環(huán)境:root@ubuntu:/etc/openvpn/easy-rsa#catvars
6�、grep-v"^#"##主要修改紅色部分內(nèi)容,下面是已經(jīng)改好的例子exportEASY_RSA="`pwd`"exportOPENSSL="openssl"exportPKCS11TOOL="pkcs11-tool"exportGREP="grep"exportKEY_CONFIG=`$EASY_R
7�、SA/whichopensslcnf$EASY_RSA`exportKEY_DIR="$EASY_RSA/keys"echoNOTE:Ifyourun./clean-all,Iwillbedoingarm-rfon$KEY_DIRexportPKCS11_MODULE_PATH="dummy"exportPKCS11_PIN="dummy"exportKEY_SIZE=2048exportCA_EXPIRE=3650exportKEY_EXPIRE=3650exportKEY_COUNTRY="CN"##
8、國家exportKEY_PROVINCE="SZ"##省份exportKEY_CITY="ShenZhen"##城市exportKEY_ORG="acttao"##組織單位exportKEY_EMAIL="jiaxxx@126.com"##郵箱exportKEY_OU="acttao"##組織單元exportKEY_NAME="acttao"##證書名exportKEY_CN="acttao"##證書別名輸入以下命令以生成主證書頒發(fā)機構(gòu)(CA)的證書和密鑰:cd/etc/openvpn/easy-rsa/
9�、chown-Rroot.$user.##$user指的是當(dāng)前管理系統(tǒng)的用戶(非root)chmodg+w.source./vars./clean-all./build-ca(可能會報錯,詳見下圖)root@ubuntu:/etc/openvpn/easy-rsa#./build-caerroronline198of/etc/openvpn/easy-rsa/openssl-1.0.0.cnf140065253045920:er
