Open××× 是一个基于 OpenSSL 库的应用层 ××× 实现。和传统 ××× 相比,它的优点是简单易用

Open×××允许参与建立×××的单点使用共享金钥,电子证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库中的SSLv3/TLSv1 协议函式库。Open×××能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows 2000/XP/Vista上运行,并包含了许多安全性的功能。它并不是一个基于Web的×××软件,也不与IPsec及其他×××软件包兼容。


默认open***本地yum包是没有的,所有我们添加epel额外包

wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

rpm -ivh epel-release-latest-7.noarch.rpm


安装open***

yum install open*** -y

下载easy-rsa用于生成证书。 下载地址:http://down.51cto.com/data/2446120

官网下载地址:https://github.com/Open×××/easy-rsa

easy-rsa下载之后用winscp或者其他工具导入到linux系统里面

mv easy-rsa-3.0.5 easy-rsa

cp -a easy-rsa /etc/open***/

cd /etc/open***/easy-rsa/easyrsa3/

cp vars.example vars

vim vars            #默认不修改也是可以的

RHEL 7.4搭建open***_第1张图片


set_var EASYRSA_REQ_COUNTRY     "CN"     #定义所在的国家

set_var EASYRSA_REQ_PROVINCE    "gd"     #定义所在的省

set_var EASYRSA_REQ_CITY        "gz"             #定义所在的城市

set_var EASYRSA_REQ_ORG         "tang"     #定义所在的组织

set_var EASYRSA_REQ_EMAIL       "[email protected]" #定义邮箱

set_var EASYRSA_REQ_OU          "My Open×××"     #定义所在单位



chmod +x easyrsa

证书申请:

./easyrsa init-pki#创建pki

RHEL 7.4搭建open***_第2张图片


./easyrsa build-ca#创建ca,输入密码,输入名称,必须独一无二

RHEL 7.4搭建open***_第3张图片


./easyrsa gen-req server nopass              #生成服务器端证书,名称任意输入,必须独一无二

RHEL 7.4搭建open***_第4张图片


 ./easyrsa sign server server    #签约服务端证书,期间需要输入AC的密码

RHEL 7.4搭建open***_第5张图片


./easyrsa gen-dh            #创建Diffie-Hellman,确保key穿越不安全网络的命令

RHEL 7.4搭建open***_第6张图片


open*** --genkey --secret /etc/open***/ta.key            #生成ta.key密钥

cd 

mkdir client        #创建客户端证书

cp -a easy-rsa client/

cd client/easy-rsa/easyrsa3/

chmod +x easyrsa

./easyrsa init-pki        # 需输入yes 确定

RHEL 7.4搭建open***_第7张图片


./easyrsa gen-req client        #生成客户端密码

RHEL 7.4搭建open***_第8张图片


cd /etc/open***/easy-rsa/easyrsa3/

./easyrsa import-req /root/client/easy-rsa/easyrsa3/pki/reqs/client.req client

RHEL 7.4搭建open***_第9张图片


./easyrsa sign client client            #签约证书,生成client所以必须为client

RHEL 7.4搭建open***_第10张图片


cp /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /etc/open***/

cp /etc/open***/easy-rsa/easyrsa3/pki/private/server.key /etc/open***/

cp /etc/open***/easy-rsa/easyrsa3/pki/issued/server.crt /etc/open***/

cp /etc/open***/easy-rsa/easyrsa3/pki/dh.pem /etc/open***/


安装ftp,用于将客户端需要的证书贡献给客户端

yum install vsftpd -y

systemctl restart vsftpd


cp -a /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /var/ftp/pub

cp -a  /etc/open***/easy-rsa/easyrsa3/pki/issued/client.crt /var/ftp/pub

cp -a  /root/client/easy-rsa/easyrsa3/pki/private/client.key /var/ftp/pub

cp -a  /etc/open***/ta.key /var/ftp/pub


chomd +x /var/ftp/pub



cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***

vim /etc/open***/server.conf


local 0.0.0.0     #监听地址

port 1194     #监听端口

proto udp     #监听协议

dev tun     #采用路由隧道模式

ca /etc/open***/ca.crt      #ca证书路径

cert /etc/open***/server.crt       #服务器证书

key /etc/open***/server.key  # This file should be kept secret 服务器秘钥

dh /etc/open***/dh.pem     #密钥交换协议文件

server 10.8.0.0 255.255.255.0     #给客户端分配地址池,注意:不能和×××服务器内网网段有相同

ifconfig-pool-persist ipp.txt

push "dhcp-option DNS 223.5.5.5"        #dhcp分配dns

client-to-client       #客户端之间互相通信

keepalive 10 120       #存活时间,10秒ping一次,120 如未收到响应则视为断线

comp-lzo      #传输数据压缩

max-clients 100     #最多允许 100 客户端连接

user open***       #用户

group open***      #用户组

persist-key

persist-tun

status /var/log/open***/open***-status.log

log         /var/log/open***/open***.log

verb 3



mkdir /var/log/open***

chown -R open***.open*** /var/log/open***/

chown -R open***.open*** /etc/open***/*

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

iptables -vnL -t nat

echo "net.ipv4.ip_forward = 1" > /etc/sysctl.conf

sysctl -p


open*** /etc/open***/server.conf 开启服务

systemctl -f enable open***@server.service

systemctl start open***@server.service

systemctl stop firewalld 

ss -nutl |grep 1194

看看端口有没有开启。


Windows open***客户端

下载地址:http://down.51cto.com/data/2446118

官网下载地址:官网需要×××,请自备×××。


安装后打开open***安装路径

RHEL 7.4搭建open***_第11张图片


从sample-config文件,复制client.o***到config文件里面,然后打开修改,将remote后面的IP地址修改为服务器的ip地址,其他修改请同步服务器

RHEL 7.4搭建open***_第12张图片


然后打开ftp,把里面共享的证书拷贝到安装目录下的config下

RHEL 7.4搭建open***_第13张图片


然后打开以管理员权限打开open***,输入密码就可以连接了,

绿色表示连接成功

14.jpg





以上配置参考于http://www.zhimengzhe.com/linux/408192.html

下一篇,我会上传自己用shell写的自动化安装open***脚本。