open***
實驗環境
system:centos 6.5
hostname:open***-server
ip:192.168.1.236
安裝包地址:http://down.51cto.com/data/1976343?(免豆)
[root@open***-server ~]# yum -y install openssl openssl-devel gcc
1.安裝lzo
注:lzo,用于壓縮隧道通信數據以加快傳輸速度。
[root@***-server opt]# tar zxf lzo-2.03.tar.gz?
[root@***-server opt]# cd lzo-2.03
[root@***-server lzo-2.03]# ./configure --prefix=/usr
[root@***-server lzo-2.03]# make && make install
2.安裝open***
[root@***-server opt]# tar zxf open***-2.0.9.tar.gz?
[root@***-server opt]# cd open***-2.0.9
[root@***-server open***-2.0.9]# ./configure --with-lzo-lib=/usr
[root@***-server open***-2.0.9]# make && make install
3.open***服務端配置
[root@open***-server open***-2.0.9]# vi /opt/open***-2.0.9/easy-rsa/2.0/vars?
export KEY_COUNTRY=CN???????????????? #國家
export KEY_PROVINCE=GD??????????????? #所屬省份
export KEY_CITY=Shenzhen????????????? #所在城市
export KEY_ORG="Kim***"?????????????? #所屬組織,CA證書也會根據這個生成
export KEY_EMAIL="kim@163.com"??????? #郵箱,可任意填寫
[root@open***-server open***-2.0.9]# source /opt/open***-2.0.9/easy-rsa/2.0/vars?? #使修改的變量生效
NOTE: when you run ./clean-all, I will be doing a rm -rf on /root/keys
4.open***配置
[root@***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0
[root@open***-server 2.0]# ./clean-all???????? #清除所有open***的證書文件
[root@open***-server 2.0]# ./build-ca????????? #生成ca證書
[root@open***-server 2.0]# ls -lsart keys |grep ca
4 -rw------- 1 root root? 916 Jan? 8 12:12 ca.key
4 -rw-r--r-- 1 root root 1220 Jan? 8 12:12 ca.crt
[root@open***-server 2.0]# ./build-dh?????????? #生成 dh1024.pem? 文件
為服務器生成證書和密鑰
[root@open***-server 2.0]# ./build-key-server Kim***
為客戶端生成客戶端證書文件,本文用到了client1和client2兩個用戶為例。
[root@open***-server 2.0]# ./build-key client1
[root@open***-server 2.0]# ./build-key client2? #操作同上
[root@open***-server 2.0]# ls -lsart keys
修改open***服務器的配置文件/etc/server.conf
[root@open***-server 2.0]# cp -p /opt/open***-2.0.9/sample-config-files/server.conf /etc/server.conf
[root@open***-server 2.0]# vi /etc/server.conf?? #修改配置為如下內容
proto tcp?????? #將proto udp改成 proto tcp,即啟用tcp端口。
ca /opt/open***-2.0.9/easy-rsa/2.0/keys/ca.crt
cert /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.crt
key /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.key??
dh /opt/open***-2.0.9/easy-rsa/2.0/keys/dh1024.pem
log??????? /var/log/open***.log???? #開啟日志
server 192.168.2.0 255.255.255.0??? #open***服務端為***客戶端分配的網段,注意不要與公司真實網段發生沖突。
verb 5
[root@open***-server 2.0]# echo "1" > /proc/sys/net/ipv4/ip_forward?? #開啟ip轉發,保證數據包在不同網段之間流通。
[root@open***-server ~]# /usr/local/sbin/open*** --config /etc/server.conf &??? #啟動***,加入后臺運行
[root@open***-server ~]# netstat -anpt |grep open***
tcp??????? 0????? 0 0.0.0.0:1194??????????????? 0.0.0.0:*?????????????????? LISTEN????? 51774/open***????
5.客戶端配置(安裝包在文檔前面提供的下載鏈接里)
登陸到linux端open***服務器上,將/opt/open***-2.0.9/sample-config-files目錄下的cleint.conf
文件下載到windows端***客戶端機器上,放到C:\\Program Files (x86)\\Open×××\\config目錄下,重命名為client1.o*** ,將/opt/open***-2.0.9/easy-rsa/2.0/keys目錄下的ca.crt ,client1.crt ,client1.key三個文件下載到windows端***客戶端機器上,放到C:\\Program Files (x86)\\Open×××\\config目錄下。
編輯C:\\Program Files (x86)\\Open×××\\config目錄下的client1.o***文件
proto tcp????? #將proto udp改成proto tcp
remote 192.168.1.236 1194???
ca ca.crt
cert client1.crt
key client1.key
#comp-lzo?? #注釋comp-lzo
6.客戶端連接***
點擊windows右下角的Open××× GUI圖標,選擇connect。
由上圖可見,客戶端已經獲取到***-server分配的ip地址。
7.注銷***用戶
注:由于***用在企業中,***的服務端會為每個***客戶端建立證書文件,如果有同事離職,需要注銷用戶,例client1用戶:
[root@open***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0/
[root@open***-server 2.0]# ./revoke-full client1
Please source the vars script first (i.e. "source ./vars")
Make sure you have edited it to reflect your configuration.
提示以上信息需做一下操作
[root@open***-server 2.0]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /opt/open***-2.0.9/easy-rsa/2.0/keys
然后在執行注銷
[root@open***-server 2.0]# ./revoke-full client1
?注:出現以上錯誤正常,這是open***自身的bug,解決方法如下
[root@open***-server 2.0]# vi /opt/open***-2.0.9/easy-rsa/2.0/openssl.cnf
?再次執行注銷
[root@open***-server 2.0]# ./revoke-full client1
?如上圖,出現error23字樣,表示注銷成功,不過你會發現這個證書任然能登陸,原因是上面的操作在keys下產生了crl.pem文件,里面就是注銷掉的證書。也就是說相關證書還未完全注銷,需做以下操作:
[root@open***-server 2.0]# vi /etc/server.conf
crl -verify /opt/open***-2.0.9/easy-rsa/2.0/keys/crl.pem????? #添加本行內容
重啟open***,發現客戶端已經不能登陸***了。
轉載于:https://blog.51cto.com/201438gz/1608048
總結
- 上一篇: linux 进程(二) --- 进程的创
- 下一篇: Intellij idea 14 创建简