實驗環境
system:centos 6.5
hostname:open***-server
ip:192.168.1.236
安裝包地址:http://down.51cto.com/data/1976343 (免豆)
[root@open***-server ~]# yum -y install openssl openssl-devel gcc
1.安裝lzo
注:lzo,用於壓縮隧道通信數據以加快傳輸速度。
[root@***-server opt]# tar zxf lzo-2.03.tar.gz
[root@***-server opt]# cd lzo-2.03
[root@***-server lzo-2.03]# ./configure --prefix=/usr
[root@***-server lzo-2.03]# make && make install
2.安裝open***
[root@***-server opt]# tar zxf open***-2.0.9.tar.gz
[root@***-server opt]# cd open***-2.0.9
[root@***-server open***-2.0.9]# ./configure --with-lzo-lib=/usr
[root@***-server open***-2.0.9]# make && make install
3.open***服務端配置
[root@open***-server open***-2.0.9]# vi /opt/open***-2.0.9/easy-rsa/2.0/vars
export KEY_COUNTRY=CN #國家
export KEY_PROVINCE=GD #所屬省份
export KEY_CITY=Shenzhen #所在城市
export KEY_ORG="Kim***" #所屬組織,CA證書也會根據這個生成
export KEY_EMAIL="[email protected]" #郵箱,可任意填寫
[root@open***-server open***-2.0.9]# source /opt/open***-2.0.9/easy-rsa/2.0/vars #使修改的變量生效
NOTE: when you run ./clean-all, I will be doing a rm -rf on /root/keys
4.open***配置
[root@***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0
[root@open***-server 2.0]# ./clean-all #清除所有open***的證書文件
[root@open***-server 2.0]# ./build-ca #生成ca證書
[root@open***-server 2.0]# ls -lsart keys |grep ca
4 -rw------- 1 root root 916 Jan 8 12:12 ca.key
4 -rw-r--r-- 1 root root 1220 Jan 8 12:12 ca.crt
[root@open***-server 2.0]# ./build-dh #生成 dh1024.pem 文件
爲服務器生成證書和密鑰
[root@open***-server 2.0]# ./build-key-server Kim***
爲客戶端生成客戶端證書文件,本文用到了client1和client2兩個用戶爲例。
[root@open***-server 2.0]# ./build-key client1
[root@open***-server 2.0]# ./build-key client2 #操作同上
[root@open***-server 2.0]# ls -lsart keys
修改open***服務器的配置文件/etc/server.conf
[root@open***-server 2.0]# cp -p /opt/open***-2.0.9/sample-config-files/server.conf /etc/server.conf
[root@open***-server 2.0]# vi /etc/server.conf #修改配置爲如下內容
proto tcp #將proto udp改成 proto tcp,即啓用tcp端口。
ca /opt/open***-2.0.9/easy-rsa/2.0/keys/ca.crt
cert /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.crt
key /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.key
dh /opt/open***-2.0.9/easy-rsa/2.0/keys/dh1024.pem
log /var/log/open***.log #開啓日誌
server 192.168.2.0 255.255.255.0 #open***服務端爲***客戶端分配的網段,注意不要與公司真實網段發生衝突。
verb 5
[root@open***-server 2.0]# echo "1" > /proc/sys/net/ipv4/ip_forward #開啓ip轉發,保證數據包在不同網段之間流通。
[root@open***-server ~]# /usr/local/sbin/open*** --config /etc/server.conf & #啓動***,加入後臺運行
[root@open***-server ~]# netstat -anpt |grep open***
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 51774/open***
5.客戶端配置(安裝包在文檔前面提供的下載鏈接裏)
登陸到linux端open***服務器上,將/opt/open***-2.0.9/sample-config-files目錄下的cleint.conf
文件下載到windows端***客戶端機器上,放到C:\\Program Files (x86)\\Open×××\\config目錄下,重命名爲client1.o*** ,將/opt/open***-2.0.9/easy-rsa/2.0/keys目錄下的ca.crt ,client1.crt ,client1.key三個文件下載到windows端***客戶端機器上,放到C:\\Program Files (x86)\\Open×××\\config目錄下。
編輯C:\\Program Files (x86)\\Open×××\\config目錄下的client1.o***文件
proto tcp #將proto udp改成proto tcp
remote 192.168.1.236 1194
ca ca.crt
cert client1.crt
key client1.key
#comp-lzo #註釋comp-lzo
6.客戶端連接***
點擊windows右下角的Open××× GUI圖標,選擇connect。
由上圖可見,客戶端已經獲取到***-server分配的ip地址。
7.註銷***用戶
注:由於***用在企業中,***的服務端會爲每個***客戶端建立證書文件,如果有同事離職,需要註銷用戶,例client1用戶:
[root@open***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0/
[root@open***-server 2.0]# ./revoke-full client1
Please source the vars script first (i.e. "source ./vars")
Make sure you have edited it to reflect your configuration.
提示以上信息需做一下操作
[root@open***-server 2.0]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /opt/open***-2.0.9/easy-rsa/2.0/keys
然後在執行註銷
[root@open***-server 2.0]# ./revoke-full client1
注:出現以上錯誤正常,這是open***自身的bug,解決方法如下
[root@open***-server 2.0]# vi /opt/open***-2.0.9/easy-rsa/2.0/openssl.cnf
再次執行註銷
[root@open***-server 2.0]# ./revoke-full client1
如上圖,出現error23字樣,表示註銷成功,不過你會發現這個證書任然能登陸,原因是上面的操作在keys下產生了crl.pem文件,裏面就是註銷掉的證書。也就是說相關證書還未完全註銷,需做以下操作:
[root@open***-server 2.0]# vi /etc/server.conf
crl -verify /opt/open***-2.0.9/easy-rsa/2.0/keys/crl.pem #添加本行內容
重啓open***,發現客戶端已經不能登陸***了。