您好,登錄后才能下訂單哦!
***直譯就是虛擬專用通道,是提供給企業(yè)之間或者個(gè)人與公司之間安全數(shù)據(jù)傳輸?shù)乃淼溃琌pen***無疑是Linux下開源***的先鋒,提供了良好的性能和友好的用戶GUI.
它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協(xié)議函數(shù)庫。
目前Open***能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上運(yùn)行,并包含了許多安全性的功能。它并不是一個(gè)基于Web的***軟件,也不與IPsec及其他***軟件包兼容。
open***的下載:http://open***.ustc.edu.cn/
服務(wù)端安裝
建議安裝到c盤
在進(jìn)行操作之前,首先進(jìn)行初始化工作:
(1)修改C:\ProgramFiles\OPEN***\easy-rsa\vars.bat.sample的以下部分
set HOME=%ProgramFiles%\Open***\easy-rsa
set KEY_COUNTRY=US
set KEY_PROVINCE=CA
set KEY_CITY=SanFrancisco
set KEY_ORG=FortFunston
set KEY_EMAIL=mail@domain.com
請(qǐng)根據(jù)自身情況修改,也可以不修改,改為
set HOME=C:\Program Files\OPEN***\easy-rsa
set KEY_COUNTRY=CN #(國家)set KEY_PROVINCE=GuangDong #(省份)
set KEY_CITY=ShenZhen #(城市)
set KEY_ORG=oovc.com #(組織)
set KEY_EMAIL=admin@oovc.com #(郵件地址)
上面#開始的是注釋,請(qǐng)不要寫到文件中。
打開命令提示符:
開始-->運(yùn)行...-->鍵入cmd,回車,進(jìn)入命令提示符
或者開始-->程序-->附件-->命令提示符
進(jìn)入C:\ProgramFiles\open***\easy-rsa目錄下:
命令如下:
(1)cd C:\ProgramFiles\open***\easy-rsa
init-config
vars
clean-all
上面是初始化工作,以后,在進(jìn)行證書制作工作時(shí),仍舊需要進(jìn)行初始化,但只需要進(jìn)入open***\easy-rsa目錄,運(yùn)行vars就可以了,不需要上面那些步驟了。
(2)下面開始證書的制作:
生成根證書:
build-ca
生成迪菲·赫爾曼密鑰:
build-dh
生成服務(wù)端密鑰:
build-key-server server
生成客戶端密鑰
build-key client
build-key client1//可以繼續(xù)配置第二個(gè)***客戶端密鑰
//生成的密鑰存放于C:\ProgramFiles\open***\easy\rsa\keys目錄下
接下來開始配置服務(wù)器和客戶端:
(3)將生成的ca.crt,dh2024.pem,server.crt,server.key復(fù)制到C:\ProgramFiles\OPEN***\KEY目錄下,這四個(gè)文件是***服務(wù)端運(yùn)行所需要的文件。
(4)ca.crt,client.crt,client.key是***客戶端所需要的文件,復(fù)制到客戶端C:\ProgramFiles\OPEN***\KEY目錄下
(5)在C:\ProgramFiles\Open***\config目錄下創(chuàng)建server.o***:
服務(wù)器端文件示例:(server.o***)
local 192.168.3.1 #建立***的IP
port 443 #端口號(hào),根據(jù)需要,自行修改,如果是用http代理連接,請(qǐng)不要修改
proto tcp-server #通過TCP協(xié)議連接
dev tap #win下必須設(shè)為tap
server 192.168.0.0 255.255.255.0 # 虛擬局域網(wǎng)網(wǎng)段設(shè)置,請(qǐng)根據(jù)需要自行修改,不支持和拔號(hào)網(wǎng)卡位于同一網(wǎng)段
push "route 0.0.0.0 0.0.0.0" #表示client通過*** SERVER上網(wǎng)
keepalive 20 180
ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt" #CA證書存放位置,請(qǐng)根據(jù)實(shí)際情況自行修改
cert "C:\\Program Files\\OPEN***\\KEY\\server.crt" #服務(wù)器證書存放位置,請(qǐng)根據(jù)實(shí)際情況自行修改
key "C:\\Program Files\\OPEN***\\KEY\\server.key" #服務(wù)器密鑰存放位置,請(qǐng)根據(jù)實(shí)際情況自行修改
dh "C:\\Program Files\\OPEN***\\KEY\\dh2024.pem" #dh2024.pem存放位置,請(qǐng)根據(jù)實(shí)際情況自行修改
push "redirect-gateway def1"
push "dhcp-option DNS 219.141.140.10" #DNS,請(qǐng)根據(jù)實(shí)際情況自行修改
mode server
tls-server
status "C:\\Program Files\\OPEN***\\log\\open***-status.log" #LOG記錄文件存放位置,請(qǐng)根據(jù)實(shí)際情況自行修改
comp-lzo
verb 4
(6)客戶端設(shè)置:在客戶端安裝完成之后,需要將 ca.crt client.crtclient.key 這三個(gè)文件拷貝到C:\ProgramFiles\open***\key目錄下,這三個(gè)文件由服務(wù)端生成,所以,連接誰的服務(wù)器,就需要跟誰索取這三個(gè)文件
然后,編輯一個(gè) client.o***的配置文件存放到C:\ProgramFiles\open***\config目錄下,客戶端就可以進(jìn)行連接了。
客戶端文件示例:(client.o***)
client
dev tap #windows下面用tap,LINUX下用tun
proto tcp-client
remote 192.168.3.1 443 #***服務(wù)器的域名或IP 端口
resolv-retry infinite
nobind
#http-proxy 192.168.1.1 80 #這里填入你的代理服務(wù)器地址和端口
mute-replay-warnings
ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt"
cert "C:\\Program Files\\OPEN***\\KEY\\client.crt" #這里改成每個(gè)客戶端相應(yīng)的證書
key "C:\\Program Files\\OPEN***\\KEY\\client.key" #這里改成每個(gè)客戶端相應(yīng)的密鑰
comp-lzo
verb 4
status open***-status.log
(7)其它設(shè)置:
上面的配置拔號(hào)成功后,*** SERVER的IP:192.168.0.1
*** client的IP:192.168.0.2
ping 192.168.0.1 //相互之間應(yīng)能ping通
然后設(shè)置*** SERVER上的”internet連接共享“來實(shí)現(xiàn)clinet通過*** SERVER上網(wǎng):
然后就可以正常使用證書***訪問了
吊銷證書辦法:
執(zhí)行命令進(jìn)入open***的安裝目錄,在easy-rsa目錄下。使用revoke-full命令來注銷其證書。
先把一位同事證書文件放到easy-rsa/keys下,然后執(zhí)行
revoke-full client1
client1為證書名稱,這條命令執(zhí)行完成之后, 會(huì)在 keys 目錄下面, 生成一個(gè) crl.pem 文件,這個(gè)文
件中包含了吊銷證書的名單。
接著再次執(zhí)行
revoke-full client2
這條命令執(zhí)行完成之后, 會(huì)在 keys 目錄下面, 生成一個(gè)新的crl.pem 文件覆蓋舊的。
把此crl.pem文件放到相應(yīng)的配置目錄config下,然后在配置文件加入如下參數(shù),重新啟動(dòng)open***服務(wù)器
即可。
crl-verify crl.pem
注:如以后需要再注銷其他證書,可繼續(xù)執(zhí)行revoke-full client3,生成新的crl.pem文件替換配置目錄
下的文件,重新啟動(dòng)open***服務(wù)即可。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。