windows 2008 R2系統(tǒng)安裝openv p n詳細(xì)配置

***直譯就是虛擬專用通道，是提供給企業(yè)之間或者個(gè)人與公司之間安全數(shù)據(jù)傳輸?shù)乃淼溃琌pen***無疑是Linux下開源***的先鋒，提供了良好的性能和友好的用戶GUI. 

它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協(xié)議函數(shù)庫。

目前Open***能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上運(yùn)行，并包含了許多安全性的功能。它并不是一個(gè)基于Web的***軟件，也不與IPsec及其他***軟件包兼容。

open***的下載：http://open***.ustc.edu.cn/

服務(wù)端安裝

建議安裝到c盤

在進(jìn)行操作之前，首先進(jìn)行初始化工作：
(1)修改C:\ProgramFiles\OPEN***\easy-rsa\vars.bat.sample的以下部分
set HOME=%ProgramFiles%\Open***\easy-rsa

set KEY_COUNTRY=US

set KEY_PROVINCE=CA

set KEY_CITY=SanFrancisco

set KEY_ORG=FortFunston

set KEY_EMAIL=mail@domain.com

請(qǐng)根據(jù)自身情況修改,也可以不修改，改為

set HOME=C:\Program Files\OPEN***\easy-rsa

set KEY_COUNTRY=CN #(國家)set KEY_PROVINCE=GuangDong #(省份)

set KEY_CITY=ShenZhen #(城市)

set KEY_ORG=oovc.com #(組織)

set KEY_EMAIL=admin@oovc.com #(郵件地址)

上面#開始的是注釋，請(qǐng)不要寫到文件中。
打開命令提示符：

開始-->運(yùn)行...-->鍵入cmd，回車，進(jìn)入命令提示符

或者開始-->程序-->附件-->命令提示符

進(jìn)入C:\ProgramFiles\open***\easy-rsa目錄下：
命令如下：
（1）cd C:\ProgramFiles\open***\easy-rsa

init-config

vars

clean-all 

上面是初始化工作，以后，在進(jìn)行證書制作工作時(shí)，仍舊需要進(jìn)行初始化，但只需要進(jìn)入open***\easy-rsa目錄，運(yùn)行vars就可以了，不需要上面那些步驟了。

（2）下面開始證書的制作：
生成根證書:
build-ca

生成迪菲·赫爾曼密鑰:

build-dh

生成服務(wù)端密鑰:
build-key-server server



生成客戶端密鑰
build-key client
build-key client1//可以繼續(xù)配置第二個(gè)***客戶端密鑰

//生成的密鑰存放于C:\ProgramFiles\open***\easy\rsa\keys目錄下

接下來開始配置服務(wù)器和客戶端:
(3)將生成的ca.crt,dh2024.pem,server.crt,server.key復(fù)制到C:\ProgramFiles\OPEN***\KEY目錄下,這四個(gè)文件是***服務(wù)端運(yùn)行所需要的文件。
(4)ca.crt,client.crt,client.key是***客戶端所需要的文件，復(fù)制到客戶端C:\ProgramFiles\OPEN***\KEY目錄下
(5)在C:\ProgramFiles\Open***\config目錄下創(chuàng)建server.o***:
服務(wù)器端文件示例：(server.o***)
local 192.168.3.1 #建立***的IP

port 443 #端口號(hào)，根據(jù)需要，自行修改，如果是用http代理連接，請(qǐng)不要修改

proto tcp-server #通過TCP協(xié)議連接

dev tap #win下必須設(shè)為tap

server 192.168.0.0 255.255.255.0 # 虛擬局域網(wǎng)網(wǎng)段設(shè)置，請(qǐng)根據(jù)需要自行修改，不支持和拔號(hào)網(wǎng)卡位于同一網(wǎng)段

push "route 0.0.0.0 0.0.0.0" #表示client通過*** SERVER上網(wǎng)

keepalive 20 180

ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt" #CA證書存放位置，請(qǐng)根據(jù)實(shí)際情況自行修改

cert "C:\\Program Files\\OPEN***\\KEY\\server.crt" #服務(wù)器證書存放位置，請(qǐng)根據(jù)實(shí)際情況自行修改

key "C:\\Program Files\\OPEN***\\KEY\\server.key" #服務(wù)器密鑰存放位置，請(qǐng)根據(jù)實(shí)際情況自行修改

dh "C:\\Program Files\\OPEN***\\KEY\\dh2024.pem" #dh2024.pem存放位置，請(qǐng)根據(jù)實(shí)際情況自行修改

push "redirect-gateway def1"

push "dhcp-option DNS 219.141.140.10" #DNS，請(qǐng)根據(jù)實(shí)際情況自行修改

mode server

tls-server
status "C:\\Program Files\\OPEN***\\log\\open***-status.log" #LOG記錄文件存放位置，請(qǐng)根據(jù)實(shí)際情況自行修改

comp-lzo

verb 4
(6)客戶端設(shè)置：在客戶端安裝完成之后，需要將 ca.crt client.crtclient.key 這三個(gè)文件拷貝到C:\ProgramFiles\open***\key目錄下，這三個(gè)文件由服務(wù)端生成，所以，連接誰的服務(wù)器，就需要跟誰索取這三個(gè)文件

然后，編輯一個(gè) client.o***的配置文件存放到C:\ProgramFiles\open***\config目錄下，客戶端就可以進(jìn)行連接了。

客戶端文件示例：(client.o***)
client

dev tap #windows下面用tap,LINUX下用tun

proto tcp-client

remote 192.168.3.1 443 #***服務(wù)器的域名或IP 端口

resolv-retry infinite

nobind

#http-proxy 192.168.1.1 80 #這里填入你的代理服務(wù)器地址和端口

mute-replay-warnings

ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt"

cert "C:\\Program Files\\OPEN***\\KEY\\client.crt" #這里改成每個(gè)客戶端相應(yīng)的證書

key "C:\\Program Files\\OPEN***\\KEY\\client.key" #這里改成每個(gè)客戶端相應(yīng)的密鑰

comp-lzo

verb 4

status open***-status.log

(7)其它設(shè)置:
上面的配置拔號(hào)成功后，*** SERVER的IP:192.168.0.1

*** client的IP:192.168.0.2

ping 192.168.0.1 //相互之間應(yīng)能ping通

然后設(shè)置*** SERVER上的”internet連接共享“來實(shí)現(xiàn)clinet通過*** SERVER上網(wǎng):

然后就可以正常使用證書***訪問了

吊銷證書辦法：

執(zhí)行命令進(jìn)入open***的安裝目錄，在easy-rsa目錄下。使用revoke-full命令來注銷其證書。

先把一位同事證書文件放到easy-rsa/keys下，然后執(zhí)行

revoke-full client1

client1為證書名稱，這條命令執(zhí)行完成之后， 會(huì)在 keys 目錄下面， 生成一個(gè) crl.pem 文件，這個(gè)文

件中包含了吊銷證書的名單。

接著再次執(zhí)行

revoke-full client2

這條命令執(zhí)行完成之后， 會(huì)在 keys 目錄下面， 生成一個(gè)新的crl.pem 文件覆蓋舊的。

把此crl.pem文件放到相應(yīng)的配置目錄config下，然后在配置文件加入如下參數(shù)，重新啟動(dòng)open***服務(wù)器

即可。

crl-verify crl.pem

注：如以后需要再注銷其他證書，可繼續(xù)執(zhí)行revoke-full client3，生成新的crl.pem文件替換配置目錄

下的文件，重新啟動(dòng)open***服務(wù)即可。