Centos7.7 配置OpenVPN (一)
OpenVPN是一个开源的应用程序,它允许您通过公共互联网创建一个安全的专用网络。OpenVPN实现一个虚拟专用网(VPN)来创建一个安全连接。
OpenVPN是一个开源的应用程序,它允许您通过公共互联网创建一个安全的专用网络。OpenVPN实现一个虚拟专用网(VPN)来创建一个安全连接。OpenVPN使用OpenSSL库提供加密,它提供了几种身份验证机制,如基于证书的、预共享密钥和用户名/密码身份验证。在本教程中,我们将向您展示如何在CentOS 7.7服务器上逐步安装和配置OpenVPN。实现基于证书的OpenVPN认证。准备工作
[*]Centos7.7 作为服务端
[*]Windows 10 作为客户端
[*]Easy-RSA 3.0.6
[*]服务端openvpn版本 2.4.8
[*]客户端openvpn版本2.4.8 :下载地址:https://swupdate.openvpn.org/community/releases/openvpn-2.4.8.tar.gz
关闭selinux
# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config# setenforce 0安装epel仓库和openvpn, Easy-RSA
# yum -y install epel-release && yum -y install openvpn easy-rsa配置EASY-RSA 3.0
在/etc/openvpn文件夹下面创建easy-rsa文件夹,并把相关文件复制进去# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars创建OpenVPN相关的密钥
我们将创建CA密钥,server端、client端密钥,DH和CRL PEM, TLS认证钥匙ta.key。# cd /etc/openvpn/easy-rsa/初始化并建立CA证书
创建服务端和客户端密钥之前,需要初始化PKI目录# ./easyrsa init-pkihttps://www.linuxprobe.com/wp-content/uploads/2020/01/1-21.png# ./easyrsa build-ca nopasshttps://www.linuxprobe.com/wp-content/uploads/2020/01/2-14.png创建服务器密钥
创建服务器密钥名称为 server1.key# ./easyrsa gen-req server1 nopass添加nopass 选项,是指不需要为密钥添加密码。
https://www.linuxprobe.com/wp-content/uploads/2020/01/3-14.png用CA证书签署server1密钥# ./easyrsa sign-req server server1https://www.linuxprobe.com/wp-content/uploads/2020/01/4-12.png创建客户端密钥
创建客户端密钥名称为 client1.key# ./easyrsa gen-req client1 nopasshttps://www.linuxprobe.com/wp-content/uploads/2020/01/5-14.png用CA证书签署client1密钥# ./easyrsa sign-req client client1https://www.linuxprobe.com/wp-content/uploads/2020/01/6-13.png创建DH密钥
根据在顶部创建的vars配置文件生成2048位的密钥# ./easyrsa gen-dhhttps://www.linuxprobe.com/wp-content/uploads/2020/01/7-11.png创建TLS认证密钥
# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key生成 证书撤销列表(CRL)密钥
CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。生成CRL密钥:# ./easyrsagen-crlhttps://www.linuxprobe.com/wp-content/uploads/2020/01/8-9.png复制证书文件
复制ca证书,ta.key和server端证书及密钥到/etc/openvpn/server文件夹里# cp -p pki/ca.crt /etc/openvpn/server/# cp -p pki/issued/server1.crt /etc/openvpn/server/# cp -p pki/private/server1.key /etc/openvpn/server/# cp -p ta.key /etc/openvpn/server/复制ca证书,ta.key和client端证书及密钥到/etc/openvpn/client文件夹里# cp -p pki/ca.crt /etc/openvpn/client/# cp -p pki/issued/client1.crt /etc/openvpn/client/# cp -p pki/private/client1.key /etc/openvpn/client/# cp -p ta.key /etc/openvpn/client/复制dh.pem , crl.pem到/etc/openvpn/client文件夹里# cp pki/dh.pem /etc/openvpn/server/# cp pki/crl.pem /etc/openvpn/server/本文原创地址:https://www.linuxprobe.com/centos7-config-openvpn-one.html编辑:逄增宝,审核员:逄增宝
页:
[1]