Centos7.7部署OpenVPN（上）

OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。和传统 VPN 相比，它的优点是简单易用。

创新互联公司是一家专注网站建设、网络营销策划、小程序设计、电子商务建设、网络推广、移动互联开发、研究、服务为一体的技术型公司。公司成立10余年以来，已经为成百上千小搅拌车各业的企业公司提供互联网服务。现在，服务的成百上千客户与我们一路同行，见证我们的成长；未来，我们一起分享成功的喜悦。

OpenVPN 允许参与建立 VPN 的单点使用共享金钥，电子证书，或者用户名/密码来进行身份验证。它大量使用了 OpenSSL 加密库中的 SSLv3 /TLSv1 协议函式库。OpenVPN 能在 Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X 与 Windows 上运行，并包含了许多安全性的功能。

准备工作

• Centos7.7 作为服务端
  
• Windows 10 作为客户端
  
• Easy-RSA 3.0.6
  
• 服务端openvpn版本 2.4.8
  
• 客户端openvpn版本2.4.8 :下载地址： https://swupdate.openvpn.org/community/releases/openvpn-2.4.8.tar.gz
  

关闭selinux

[root@localhost ~]# sed -i '/^SELINUX/s/enforcing/disabled/g' /etc/selinux/config
[root@localhost ~]# setenforce 0

安装epel仓库和openvpn, Easy-RSA

[root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa

配置EASY-RSA 3.0

在/etc/openvpn文件夹下面创建easy-rsa文件夹，并把相关文件复制进去

[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.6/vars.example /etc/openvpn/easy-rsa/vars

创建OpenVPN相关的密钥

我们将创建CA密钥，server端、client端密钥，DH和CRL PEM, TLS认证钥匙ta.key。

[root@localhost easy-rsa]# cd /etc/openvpn/easy-rsa/

初始化并建立CA证书

创建服务端和客户端密钥之前，需要初始化PKI目录

[root@localhost easy-rsa]# ./easyrsa init-pki

[root@localhost easy-rsa]# ./easyrsa build-ca nopass

创建服务器密钥

创建服务器密钥名称为 server1.key

[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass

添加nopass 选项，是指不需要为密钥添加密码。

用CA证书签署server1密钥

[root@localhost easy-rsa]# ./easyrsa sign-req server server1

创建客户端密钥

创建客户端密钥名称为 client1.key

[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass

用CA证书签署client1密钥

[root@localhost easy-rsa]# ./easyrsa sign-req client client1

创建DH密钥

根据在顶部创建的vars配置文件生成2048位的密钥

[root@localhost easy-rsa]# ./easyrsa gen-dh

创建TLS认证密钥

[root@localhost easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key

生成 证书撤销列表(CRL)密钥

CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书，希望删除某个密钥，那么只需使用./easyrsa revoke NAME这个命令撤销即可。

生成CRL密钥：

[root@localhost easy-rsa]# ./easyrsa  gen-crl

复制证书文件

复制ca证书，ta.key和server端证书及密钥到/etc/openvpn/server文件夹里

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/server/

复制ca证书，ta.key和client端证书及密钥到/etc/openvpn/client文件夹里

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/client/

复制dh.pem , crl.pem到/etc/openvpn/client文件夹里

[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/server/
[root@localhost easy-rsa]# cp pki/crl.pem /etc/openvpn/server/

网页名称：Centos7.7部署OpenVPN（上）
文章分享：http://www.shufengxianlan.com/qtweb/news33/548083.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联