linux6证书,Centos6.7+open***实现用户通过证书访问（一）

环境介绍

cat /etc/redhat-release

uname -r

配置 *** 服务器时间同步&＃xff0c;若不同配置后面链接会报错&＃xff0c;并将时间同步命令添加到定时任务中

/usr/sbin/ntpdate pool.ntp.org

echo &＃39;#time sync&＃39; >> /var/spool/cron/root

echo &＃39;*/5 * * * * /usr/sbin/ntpdate pool.ntp.org > /dev/null 2>&1&＃39; >> /var/spool/cron/root

crontab -l

创建一个专门存放 open*** 软件的目录

mkdir -p /home/yueliang/tools/open***

安装 lrzsz 软件&＃xff0c;方便后面安装包以及文件的上传和下载

yum -y install lrzsz

需要上传 lzo&＃xff0c;openvon 两个软件&＃xff0c;直接拖拽就ok了

cd /home/yueliang/tools/open***/

ls

安装 lzo 软件&＃xff0c;用于后面文件的压缩

tar zxf lzo-2.06.tar.gz

cd lzo-2.06

./configure && make && make install

通过 yum 安装 openssl&＃xff0c;openssl-devel 两个软件&＃xff0c;没有它俩 open*** 的安装就会报错

yum -y install openssl openssl-devel

安装 open*** 软件

tar zxf open***-2.2.2.tar.gz

cd open***-2.2.2

./configure --with-lzo-headers&＃61;/usr/local/include --with-lzo-lib&＃61;/usr/local/lib

make

make install

检查 open*** 是否安装成功&＃xff0c;并且查看其版本

which open***

open*** --version

备份 var 文件&＃xff0c;并且修改模板

cd /home/yueliang/tools/open***/open***-2.2.2/easy-rsa/2.0

cp vars vars.bak

vim vars

export KEY_COUNTRY&＃61;"CN"

export KEY_PROVINCE&＃61;"BJ"

export KEY_CITY&＃61;"BJ"

export KEY_ORG&＃61;"YUCI"

export KEY_EMAIL&＃61;"yuci&＃64;test.com"

export KEY_EMAIL&＃61;yuci&＃64;test.com

export KEY_CN&＃61;CN

export KEY_NAME&＃61;yuci

export KEY_OU&＃61;yuciexport PKCS11_MODULE_PATH&＃61;changeme

export PKCS11_PIN&＃61;1234

执行 source 命令使配置文件生效

source vars

./clean-all

创建 CA 证书&＃xff0c;一路回车

./build-ca

生成服务器端证书和秘钥文件&＃xff0c;输入两次y&＃xff0c;一路回车

./build-key-server server

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

生成客户端证书和 key 文件(用户user1)

./build-key user1

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

生成传输进行秘钥交换时用到的交换秘钥协议文件

./build-dh

生成一个防止恶意***的文件(效果似乎一般)

open*** --genkey --secret keys/ta.key

创建 open*** 目录&＃xff0c;用于存放配置文件

mkdir /etc/open***

拷贝2.0目录下的 keys 目录&＃xff0c;并切换目录拷贝 server.conf client.conf 文件

cp -ap keys/ /etc/open***/

cd /home/yueliang/tools/open***/open***-2.2.2/sample-config-files/

cp client.conf server.conf /etc/open***/

编辑 open*** 的配置文件&＃xff0c;在操作前养成好习惯&＃xff0c;先进行备份

cd /etc/open***

cp server.conf server.conf.bak

可以通过 grep 命令过滤查看配置文件&＃xff0c;并通过一个临时文件将过滤后的结果再次导入 server.conf

grep -vE "^;|^#|^$" server.conf > tmp.log

cat tmp.log > server.conf

编辑过滤后的 server.conf 文件

vim server.conf

port 1194#为了安全端口可以更改&＃xff0c;这里为默认proto tcp#修改为 tcp 协议dev tun

ca /etc/open***/keys/ca.crt    #给出绝对路径cert /etc/open***/keys/server.crt#绝对路径dh /etc/open***/keys/dh1024.pem #绝对路径key /etc/open***/keys/server.key#添加server端的key文件log /var/log/open***.log#指定log文件的位置server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

persist-key

persist-tun

status open***-status.log

verb 3

打开路由转发功能

vim /etc/sysctl.conf

启动 open*** 服务并放入后台运行

/usr/local/sbin/open*** --config /etc/open***/server.conf &

执行以上的启动命令&＃xff0c;open*** 似乎没有正常启动&＃xff0c;那么继续操作&＃xff0c;添加启动服务

cp /home/yueliang/tools/open***/open***-2.2.2/sample-scripts/open***.init /etc/init.d/open***

chmod 700 /etc/init.d/open***

chkconfig --add open***

通过脚本启动依旧报错

/etc/init.d/open*** start

查看脚本发现&＃xff0c;因为启动脚本是 *.conf 文件&＃xff0c;而 keys 目录下有俩个 .conf 文件&＃xff0c;所以出错

vim /etc/init.d/open***

修改为 server.conf 文件

使用 pkill 命令杀死 open*** 进程

pkill open***

继续尝试启动 open*** 文件&＃xff0c;OK了

/etc/init.d/open*** start

到此位置 open*** 的服务端就算是配置完成了。