***直譯就是虛擬專用通道,是提供給企業之間或者個人與公司之間安全數據傳輸的隧道,Open***無疑是Linux下開源***的先鋒,提供了良好的性能和友好的用戶GUI.
它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協議函數庫。
目前Open***能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上運行,幷包含了許多安全性的功能。它並不是一個基於Web的***軟件,也不與IPsec及其他***軟件包兼容。
open***的下載:http://open***.ustc.edu.cn/
服務端安裝
建議安裝到c盤
在進行操作之前,首先進行初始化工作:
(1)修改C:\ProgramFiles\OPEN***\easy-rsa\vars.bat.sample的以下部分
set HOME=%ProgramFiles%\Open***\easy-rsa
set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=FortFunston
set [email protected]
請根據自身情況修改,也可以不修改,改爲
set HOME=C:\Program Files\OPEN***\easy-rsa
set KEY_COUNTRY=CN #(國家)set KEY_PROVINCE=GuangDong #(省份)
set KEY_CITY=ShenZhen #(城市)
set KEY_ORG=oovc.com #(組織)
set [email protected] #(郵件地址)
上面#開始的是註釋,請不要寫到文件中。
打開命令提示符:
開始-->運行...-->鍵入cmd,回車,進入命令提示符
或者開始-->程序-->附件-->命令提示符
進入C:\ProgramFiles\open***\easy-rsa目錄下:
命令如下:
(1)cd C:\ProgramFiles\open***\easy-rsa
init-config
vars
clean-all
上面是初始化工作,以後,在進行證書製作工作時,仍舊需要進行初始化,但只需要進入open***\easy-rsa目錄,運行vars就可以了,不需要上面那些步驟了。
(2)下面開始證書的製作:
生成根證書:
build-ca
生成迪菲·赫爾曼密鑰:
build-dh
生成服務端密鑰:
build-key-server server 
生成客戶端密鑰
build-key client
build-key client1//可以繼續配置第二個***客戶端密鑰
//生成的密鑰存放於C:\ProgramFiles\open***\easy\rsa\keys目錄下
接下來開始配置服務器和客戶端:
(3)將生成的ca.crt,dh1024.pem,server.crt,server.key複製到C:\ProgramFiles\OPEN***\KEY目錄下,這四個文件是***服務端運行所需要的文件。
(4)ca.crt,client.crt,client.key是***客戶端所需要的文件,複製到客戶端C:\ProgramFiles\OPEN***\KEY目錄下
(5)在C:\ProgramFiles\Open***\config目錄下創建server.o***:
服務器端文件示例:(server.o***)
local 192.168.3.1 #建立***的IP
port 443 #端口號,根據需要,自行修改,如果是用http代理連接,請不要修改
proto tcp-server #通過TCP協議連接
dev tap #win下必須設爲tap
server 192.168.0.0 255.255.255.0 # 虛擬局域網網段設置,請根據需要自行修改,不支持和拔號網卡位於同一網段
push "route 0.0.0.0 0.0.0.0" #表示client通過*** SERVER上網
keepalive 20 180
ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt" #CA證書存放位置,請根據實際情況自行修改
cert "C:\\Program Files\\OPEN***\\KEY\\server.crt" #服務器證書存放位置,請根據實際情況自行修改
key "C:\\Program Files\\OPEN***\\KEY\\server.key" #服務器密鑰存放位置,請根據實際情況自行修改
dh "C:\\Program Files\\OPEN***\\KEY\\dh1024.pem" #dh1024.pem存放位置,請根據實際情況自行修改
push "redirect-gateway def1"
push "dhcp-option DNS 219.141.140.10" #DNS,請根據實際情況自行修改
mode server
tls-server
status "C:\\Program Files\\OPEN***\\log\\open***-status.log" #LOG記錄文件存放位置,請根據實際情況自行修改
comp-lzo
verb 4
(6)客戶端設置:在客戶端安裝完成之後,需要將 ca.crt client.crtclient.key 這三個文件拷貝到C:\ProgramFiles\open***\key目錄下,這三個文件由服務端生成,所以,連接誰的服務器,就需要跟誰索取這三個文件
然後,編輯一個 client.o***的配置文件存放到C:\ProgramFiles\open***\config目錄下,客戶端就可以進行連接了。
客戶端文件示例:(client.o***)
client
dev tap #windows下面用tap,LINUX下用tun
proto tcp-client
remote 192.168.3.1 443 #***服務器的域名或IP 端口
resolv-retry infinite
nobind
#http-proxy 192.168.1.1 80 #這裏填入你的代理服務器地址和端口
mute-replay-warnings
ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt"
cert "C:\\Program Files\\OPEN***\\KEY\\client.crt" #這裏改成每個客戶端相應的證書
key "C:\\Program Files\\OPEN***\\KEY\\client.key" #這裏改成每個客戶端相應的密鑰
comp-lzo
verb 4
status open***-status.log
(7)其它設置:
上面的配置拔號成功後,*** SERVER的IP:192.168.0.1
*** client的IP:192.168.0.2
ping 192.168.0.1 //相互之間應能ping通
然後設置*** SERVER上的”internet連接共享“來實現clinet通過*** SERVER上網:
然後就可以正常使用證書***訪問了
吊銷證書辦法:
執行命令進入open***的安裝目錄,在easy-rsa目錄下。使用revoke-full命令來註銷其證書。
先把一位同事證書文件放到easy-rsa/keys下,然後執行
revoke-full client1
client1爲證書名稱,這條命令執行完成之後, 會在 keys 目錄下面, 生成一個 crl.pem 文件,這個文
件中包含了吊銷證書的名單。
接着再次執行
revoke-full client2
這條命令執行完成之後, 會在 keys 目錄下面, 生成一個新的crl.pem 文件覆蓋舊的。
把此crl.pem文件放到相應的配置目錄config下,然後在配置文件加入如下參數,重新啓動open***服務器
即可。
crl-verify crl.pem
注:如以後需要再註銷其他證書,可繼續執行revoke-full client3,生成新的crl.pem文件替換配置目錄
下的文件,重新啓動open***服務即可。