linux下Open×××搭建

时间  2020-07-20
标签 linux open 搭建 栏目 Linux 繁體版
原文   原文链接

实验环境
system:centos 6.5
hostname:open***-server
ip:192.168.1.236linux

安装包地址:http://down.51cto.com/data/1976343 (免豆)windows

[root@open***-server ~]# yum -y install openssl openssl-devel gcc
1.安装lzo
注:lzo,用于压缩隧道通讯数据以加快传输速度。
[root@***-server opt]# tar zxf lzo-2.03.tar.gz
[root@***-server opt]# cd lzo-2.03
[root@***-server lzo-2.03]# ./configure --prefix=/usr
[root@***-server lzo-2.03]# make && make install
2.安装open***
[root@***-server opt]# tar zxf open***-2.0.9.tar.gz
[root@***-server opt]# cd open***-2.0.9
[root@***-server open***-2.0.9]# ./configure --with-lzo-lib=/usr
[root@***-server open***-2.0.9]# make && make install
3.open***服务端配置
[root@open***-server open***-2.0.9]# vi /opt/open***-2.0.9/easy-rsa/2.0/vars
export KEY_COUNTRY=CN                 #国家
export KEY_PROVINCE=GD                #所属省份
export KEY_CITY=Shenzhen              #所在城市
export KEY_ORG="Kim***"               #所属组织,CA证书也会根据这个生成
export KEY_EMAIL="kim@163.com"        #邮箱,可任意填写
[root@open***-server open***-2.0.9]# source /opt/open***-2.0.9/easy-rsa/2.0/vars   #使修改的变量生效
NOTE: when you run ./clean-all, I will be doing a rm -rf on /root/keys
4.open***配置
[root@***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0
[root@open***-server 2.0]# ./clean-all         #清除全部open***的证书文件
[root@open***-server 2.0]# ./build-ca          #生成ca证书centos

wKioL1S7caTz-RiAAAKzbqlIUDs538.jpg

[root@open***-server 2.0]# ls -lsart keys |grep ca
4 -rw------- 1 root root  916 Jan  8 12:12 ca.key
4 -rw-r--r-- 1 root root 1220 Jan  8 12:12 ca.crt
[root@open***-server 2.0]# ./build-dh           #生成 dh1024.pem  文件服务器

wKiom1S7cOPgrk8OAAI6nld7ek4715.jpg

为服务器生成证书和密钥
[root@open***-server 2.0]# ./build-key-server Kim***tcp

wKioL1S7ccHh4RzUAAIS3Wk0_2Q356.jpg

wKiom1S7cPCxlFHUAAI5EpKzEfQ721.jpg

为客户端生成客户端证书文件,本文用到了client1和client2两个用户为例。
[root@open***-server 2.0]# ./build-key client1ide

wKioL1S7cc-Sq-foAAKAaHip5Fs919.jpg

wKiom1S7cP7CxLGeAAKzKpEFsCY199.jpg

[root@open***-server 2.0]# ./build-key client2  #操做同上
[root@open***-server 2.0]# ls -lsart keysui

wKioL1S7ceLAWR3vAAM0i0sF0Ow278.jpg

修改open***服务器的配置文件/etc/server.conf
[root@open***-server 2.0]# cp -p /opt/open***-2.0.9/sample-config-files/server.conf /etc/server.conf
[root@open***-server 2.0]# vi /etc/server.conf   #修改配置为以下内容
proto tcp       #将proto udp改为 proto tcp,即启用tcp端口。
ca /opt/open***-2.0.9/easy-rsa/2.0/keys/ca.crt
cert /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.crt
key /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.key 
dh /opt/open***-2.0.9/easy-rsa/2.0/keys/dh1024.pem3d

log        /var/log/open***.log     #开启日志日志

server 192.168.2.0 255.255.255.0    #open***服务端为***客户端分配的网段,注意不要与公司真实网段发生冲突。
verb 5
[root@open***-server 2.0]# echo "1" > /proc/sys/net/ipv4/ip_forward   #开启ip转发,保证数据包在不一样网段之间流通。
[root@open***-server ~]# /usr/local/sbin/open*** --config /etc/server.conf &    #启动***,加入后台运行
[root@open***-server ~]# netstat -anpt |grep open***
tcp        0      0 0.0.0.0:1194                0.0.0.0:*                   LISTEN      51774/open***    server

5.客户端配置(安装包在文档前面提供的下载连接里)

wKiom1S7cS3zb3xCAAGFYeI6OaA071.jpg

wKiom1S7cS3zusRvAAH6Wi-25zs371.jpg

wKioL1S7cf_yHlkgAAG4UhzM0So958.jpg

wKiom1S7cS7D8UtGAAFjDGu7Ysg351.jpg

wKioL1S7cf-ws4ueAAJo4dYhY5s532.jpg

wKiom1S7cS_xlR0TAAFIKqxRE48727.jpg

登录到linux端open***服务器上,将/opt/open***-2.0.9/sample-config-files目录下的cleint.conf

文件下载到windows端***客户端机器上,放到C:\\Program Files (x86)\\Open×××\\config目录下,重命名为client1.o*** ,将/opt/open***-2.0.9/easy-rsa/2.0/keys目录下的ca.crt ,client1.crt ,client1.key三个文件下载到windows端***客户端机器上,放到C:\\Program Files (x86)\\Open×××\\config目录下。

wKioL1S7chGTYny2AAGwdTDH9lY499.jpg

编辑C:\\Program Files (x86)\\Open×××\\config目录下的client1.o***文件

proto tcp      #将proto udp改为proto tcp

remote 192.168.1.236 1194   

ca ca.crt
cert client1.crt
key client1.key

#comp-lzo   #注释comp-lzo

6.客户端链接***

点击windows右下角的Open××× GUI图标,选择connect。

wKioL1S7cjDR0jp7AAEV2NwSR34072.jpg

wKiom1S7cV_R4Sb-AADyKk74-vQ888.jpg

wKioL1S7cjCCZztnAAH2ZDyf-1M313.jpg

由上图可见,客户端已经获取到***-server分配的ip地址。

7.注销***用户

注:因为***用在企业中,***的服务端会为每一个***客户端创建证书文件,若是有同事离职,须要注销用户,例client1用户:

[root@open***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0/

[root@open***-server 2.0]# ./revoke-full client1

Please source the vars script first (i.e. "source ./vars")
Make sure you have edited it to reflect your configuration.

提示以上信息需作一下操做

[root@open***-server 2.0]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /opt/open***-2.0.9/easy-rsa/2.0/keys

而后在执行注销

[root@open***-server 2.0]# ./revoke-full client1

wKiom1S7cfezsgGuAALEmbLmZ3Y069.jpg

 注:出现以上错误正常,这是open***自身的bug,解决方法以下

[root@open***-server 2.0]# vi /opt/open***-2.0.9/easy-rsa/2.0/openssl.cnf

wKiom1S7csPSqnoaAADAMTZrkyE353.jpg 再次执行注销

[root@open***-server 2.0]# ./revoke-full client1

wKioL1S7dDyyBMUhAAE8oTyb6hU981.jpg

 如上图,出现error23字样,表示注销成功,不过你会发现这个证书任然能登录,缘由是上面的操做在keys下产生了crl.pem文件,里面就是注销掉的证书。也就是说相关证书还未彻底注销,需作如下操做:

[root@open***-server 2.0]# vi /etc/server.conf

crl -verify /opt/open***-2.0.9/easy-rsa/2.0/keys/crl.pem      #添加本行内容

重启open***,发现客户端已经不能登录***了。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程