centos7.4+open***-2.4.4+easy-rsa-3.0物理機安裝教程

yum install epel-release
lsb_release -a
yum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake pkgconfig makecache
yum install -y open***
yum install -y easy-rsa
#啓動open***的用戶
groupadd open***
useradd -g open*** -M -s /sbin/nologin open***

mkdir /etc/open***/
cp -R /usr/share/easy-rsa/ /etc/open***/
cp /usr/share/doc/open***-2.4.4/sample/sample-config-files/server.conf /etc/open***/
cp -r /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/open***/easy-rsa/3.0/vars

vim /etc/open***/server.conf（配置文件如下:）

port 1194
proto udp
dev tun
ca /etc/open***/easy-rsa/3.0/pki/ca.crt
cert /etc/open***/easy-rsa/3.0/pki/issued/wwwserver.crt
key /etc/open***/easy-rsa/3.0/pki/private/wwwserver.key
dh /etc/open***/easy-rsa/3.0/pki/dh.pem
tls-auth /etc/open***/ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 223.5.5.5"
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
max-clients 50
user open***
group open***
persist-key
persist-tun
status open***-status.log
log-append open***.log
verb 3
mute 20

vim /etc/open***/easy-rsa/3.0/vars
修改第45、65、76、84-89、97、105、113、117、134、139、171、180、192行：

set_var EASYRSA "$PWD"
set_var EASYRSA_PKI "$EASYRSA/pki"
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "BEIJING"
set_var EASYRSA_REQ_CITY "BEIJING"
set_var EASYRSA_REQ_ORG "Open*** CERTIFICATE AUTHORITY"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_REQ_OU "Open*** EASY CA"
set_var EASYRSA_KEY_SIZE 2048
set_var EASYRSA_ALGO rsa
set_var EASYRSA_CA_EXPIRE 7000
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_NS_SUPPORT "no"
set_var EASYRSA_NS_COMMENT "Open*** CERTIFICATE AUTHORITY"
set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"
set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-1.0.cnf"
set_var EASYRSA_DIGEST "sha256"

cd /etc/open***/easy-rsa/3.0
./easyrsa init-pki
./easyrsa build-ca
設置ca密碼（輸入兩次）：ca.com

(創建CA、密碼ca.com)

./easyrsa gen-dh
open*** --genkey --secret ta.key
cp -r ta.key /etc/open***/

創建服務端證書,生成請求,使用gen-req來生成req

./easyrsa gen-req wwwserver
設置server密碼（輸入兩次）：openserver.com

(創建服務端證書、密碼openserver.com)
簽發證書,簽約服務端證書
./easyrsa sign-req server wwwserver

(輸入yes簽發證書，輸入ca密碼：ca.com)

生成windows客戶端用戶：
./easyrsa build-client-full www001
#注意：生成客戶端用戶的時候會提示設置密碼
#可以直按回車密碼爲空、也可以設置輸入密碼（如設置密碼，客戶端連接時需輸入密碼）

(生成客戶端證書，並設置密碼（客戶端連接時用）)
查看客戶端證書存放路徑：
ls -l /etc/open***/easy-rsa/3.0/pki/issued/www001.crt
-rw-------. 1 root root 4517 Apr 16 00:30 /etc/open***/easy-rsa/3.0/pki/issued/www001.crt

ls -l /etc/open***/easy-rsa/3.0/pki/private/www001.key
-rw-------. 1 root root 1834 Apr 16 00:30 /etc/open***/easy-rsa/3.0/pki/private/www001.key

vim /etc/sysctl.conf

末尾加入
net.ipv4.ip_forward = 1
保存後執行：sysctl -p

Fairwall（0.4.4）執行：

防火牆列表
systemctl start firewalld.service
firewall-cmd --state
firewall-cmd --zone=public --list-all
firewall-cmd --add-service=open*** --permanent
firewall-cmd --add-port=1194/udp --permanent
firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --add-source=10.8.0.0 --permanent
firewall-cmd --query-source=10.8.0.0 --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --query-masquerade --permanent
firewall-cmd --reload

啓動open***
systemctl start open***@server
啓動時輸入服務端證書密碼：openserver.com

第一次啓動的時候可能會提示，重新執行systemctl start open***@server輸入密碼即可

啓動***，輸入密碼才能啓動

網絡信息，至此open***服務器安裝完成
客戶端open***版本爲2.4.5（Open*** 2.4.5 x86_64）
windows 64位官網下載就可以，也可以到網盤下載
鏈接: https://pan.baidu.com/s/1V1kqn4bJKv_PosIkEspTGA 密碼: 5dcp

客戶端需要的證書：www001.crt、www001.key、ca.crt、ta.key

存放到一個文件夾，然後將裏邊的文件夾拷貝到本地電腦
mkdir -p /etc/open***/client
cp -r /etc/open***/easy-rsa/3.0/pki/issued/www001.crt /etc/open***/client/
cp -r /etc/open***/easy-rsa/3.0/pki/private/www001.key /etc/open***/client/
cp -r /etc/open***/easy-rsa/3.0/pki/ca.crt /etc/open***/client/
cp -r /etc/open***/ta.key /etc/open***/client/

客戶端配置文件www001.o***（ip換爲open***服務器外網ip）

client
dev tun
proto udp
resolv-retry infinite
nobind
remote 47.175.155.184 1194
ns-cert-type server
comp-lzo
ca ca.crt
cert www001.crt
key www001.key
tls-auth ta.key 1
keepalive 10 120
persist-key
persist-tun
verb 5
redirect-gateway
route-method exe
route-delay 2
status www001-status.log
log-append www001.log
安裝Open*** 2.4.5 x86_64後，清空config文件夾，將www001.crt、www001.key、ca.crt、ta.key、www001.o***放入config中，

完

①如生成證書時輸錯密碼了(如www002用戶)，報如下錯誤

(如新建用戶www002時密碼輸錯，導致生成客戶端證書失敗)

(如新建用戶www002時密碼輸錯，導致生成客戶端證書失敗)

刪除以下文件即可
rm -rf /etc/open***/easy-rsa/3.0/pki/reqs/www002.req
rm -rf /etc/open***/easy-rsa/3.0/pki/private/www002.key

②撤銷證書(www001爲例)
撤銷命令revoke
cd /etc/open***/easy-rsa/3.0
./easyrsa revoke www001
生成CRL文件(撤銷證書的列表)
./easyrsa gen-crl

(crl的路徑)
重啓open***服務生效
systemctl stop open***@server
systemctl start open***@server

（以上爲註銷用戶的過程）完！！