[root@myzdl ~]# yum install open*** easy-rsa lzo lzo-devel openssl openssl-devel -y //安装服务
[root@myzdl ~]# ls /etc/open***/ //open***服务安装的所在目录
client server
[root@myzdl ~]# ls /usr/share/easy-rsa/ //easy-rsa安装的所在目录
3 3.0 3.0.3
[root@myzdl ~]# ls /usr/sbin/open*** //服务的启动脚本所在目录
/usr/sbin/open***
创建服务器证书和CA根证书:
[root@myzdl ~]# find / -name "vars.example" -type f //知道证书参数模版
/usr/share/doc/easy-rsa-3.0.3/vars.example
[root@myzdl ~]# cd /usr/share/easy-rsa/3.0.3/
[root@myzdl 3.0.3]# cp /usr/share/doc/easy-rsa-3.0.3/vars.example vars //生成证书的一些默认参数在里面设置
[root@myzdl 3.0.3]# vi vars //修改默认参数,如图
这里如果后面客户端配置中配置了"ns-cert-type server" 参数,则需要设置下面参数为yes,来创建证书
#set_var EASYRSA_NS_SUPPORT "no"
[root@myzdl 3.0.3]# ./easyrsa init-pki //生成新的pki目录结构
[root@myzdl 3.0.3]# ./easyrsa build-ca nopass //创建CA根证书,不需要密码,回车。(得到ca.crt)
[root@myzdl 3.0.3]# ./easyrsa gen-req ***server nopass //生成密钥对和证书请求文件,不需要密码,回车。(得到***server.req、***server.key)
[root@myzdl 3.0.3]# ./easyrsa sign server ***server //用根证书CA与***server.req文件签名,生成服务端证书。(得到***server.crt)
[root@myzdl 3.0.3]# ./easyrsa gen-dh //创建Diffie Hellman参数
[root@myzdl easy-rsa]# cp -R 3.0.3/ /root/Desktop //将3.0.3/目录复制到桌面,等会会用到。
创建客户端证书:
[root@myzdl 3.0.3]# rm -rf pki/ //需要删除旧的pki,重新创建
[root@myzdl 3.0.3]# ./easyrsa init-pki
[root@myzdl 3.0.3]# ./easyrsa gen-req client nopass //生成密钥对和证书请求文件,不需要密码,回车。(得到client.req、client.key)
刚才我们是用根证书CA签名生成服务器证书***server.crt,现在以CA根证书和***server.crt证书签名得到client.crt
[root@myzdl 3.0.3]# cp pki/reqs/client.req /root/Desktop/3.0.3/pki/reqs/
[root@myzdl 3.0.3]# cp pki/private/client.key /root/Desktop/3.0.3/pki/private/
[root@myzdl 3.0.3]# cd /root/Desktop/3.0.3/
[root@myzdl 3.0.3]# ./easyrsa sign client client //成功生成证书client.crt
完成以上步骤服务器端需要的文件有:ca.crt 、dh.pem 、***server.crt 、***server.key
客户端需要的文件有:ca.crt 、client.key 、client.crt
_
以证书方式认证:
[root@myzdl 3.0.3]# pwd
/root/Desktop/3.0.3
[root@myzdl 3.0.3]# cp pki/{ca.crt,dh.pem} /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/private/***server.key /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/issued/***server.crt /etc/open***/server/
[root@myzdl 3.0.3]# find / -name "server.conf" -type f //查找配置文件所在位置
/usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf
/usr/share/doc/NetworkManager/examples/server.conf
[root@myzdl 3.0.3]# cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***/server/ //复制配置文件到这里来
[root@myzdl 3.0.3]# cd /etc/open***/server/
root@myzdl server]# vi server.conf //编辑配置文件
[root@myzdl server]# cat server.conf |grep -v ^#|grep -v ^$|grep -v ^";"
[root@myzdl server]# /usr/sbin/open*** --config ./server.conf --daemon //启动服务
[root@myzdl server]# netstat -anulp | grep 1194
[root@myzdl server]# firewall-cmd --add-service=open*** --zone=public --permanent
[root@myzdl server]# firewall-cmd --reload //防火墙放通***端口数据
配置客户端,将上面所列的客户端文件想办法弄到客户端上(ca.crt 、client.key 、client.crt)。
安装步骤: