實(shí)驗(yàn)環(huán)境
system：centos 6.5
hostname：open***-server
ip：192.168.1.236

安裝包地址：http://down.51cto.com/data/1976343?（免豆）

[root@open***-server ~]# yum -y install openssl openssl-devel gcc
1.安裝lzo
注：lzo，用于壓縮隧道通信數(shù)據(jù)以加快傳輸速度。
[root@***-server opt]# tar zxf lzo-2.03.tar.gz?
[root@***-server opt]# cd lzo-2.03
[root@***-server lzo-2.03]# ./configure --prefix=/usr
[root@***-server lzo-2.03]# make && make install
2.安裝open***
[root@***-server opt]# tar zxf open***-2.0.9.tar.gz?
[root@***-server opt]# cd open***-2.0.9
[root@***-server open***-2.0.9]# ./configure --with-lzo-lib=/usr
[root@***-server open***-2.0.9]# make && make install
3.open***服務(wù)端配置
[root@open***-server open***-2.0.9]# vi /opt/open***-2.0.9/easy-rsa/2.0/vars?
export KEY_COUNTRY=CN???????????????? #國(guó)家
export KEY_PROVINCE=GD??????????????? #所屬省份
export KEY_CITY=Shenzhen????????????? #所在城市
export KEY_ORG="Kim***"?????????????? #所屬組織，CA證書(shū)也會(huì)根據(jù)這個(gè)生成
export KEY_EMAIL="kim@163.com"??????? #郵箱，可任意填寫(xiě)
[root@open***-server open***-2.0.9]# source /opt/open***-2.0.9/easy-rsa/2.0/vars?? #使修改的變量生效
NOTE: when you run ./clean-all, I will be doing a rm -rf on /root/keys
4.open***配置
[root@***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0
[root@open***-server 2.0]# ./clean-all???????? #清除所有open***的證書(shū)文件
[root@open***-server 2.0]# ./build-ca????????? #生成ca證書(shū)

[root@open***-server 2.0]# ls -lsart keys |grep ca
4 -rw------- 1 root root? 916 Jan? 8 12:12 ca.key
4 -rw-r--r-- 1 root root 1220 Jan? 8 12:12 ca.crt
[root@open***-server 2.0]# ./build-dh?????????? #生成 dh1024.pem? 文件

為服務(wù)器生成證書(shū)和密鑰
[root@open***-server 2.0]# ./build-key-server Kim***

為客戶端生成客戶端證書(shū)文件,本文用到了client1和client2兩個(gè)用戶為例。
[root@open***-server 2.0]# ./build-key client1

[root@open***-server 2.0]# ./build-key client2? #操作同上
[root@open***-server 2.0]# ls -lsart keys

修改open***服務(wù)器的配置文件/etc/server.conf
[root@open***-server 2.0]# cp -p /opt/open***-2.0.9/sample-config-files/server.conf /etc/server.conf
[root@open***-server 2.0]# vi /etc/server.conf?? #修改配置為如下內(nèi)容
proto tcp?????? #將proto udp改成 proto tcp，即啟用tcp端口。
ca /opt/open***-2.0.9/easy-rsa/2.0/keys/ca.crt
cert /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.crt
key /opt/open***-2.0.9/easy-rsa/2.0/keys/Kim***.key??
dh /opt/open***-2.0.9/easy-rsa/2.0/keys/dh1024.pem

log??????? /var/log/open***.log???? #開(kāi)啟日志

server 192.168.2.0 255.255.255.0??? #open***服務(wù)端為***客戶端分配的網(wǎng)段，注意不要與公司真實(shí)網(wǎng)段發(fā)生沖突。
verb 5
[root@open***-server 2.0]# echo "1" > /proc/sys/net/ipv4/ip_forward?? #開(kāi)啟ip轉(zhuǎn)發(fā)，保證數(shù)據(jù)包在不同網(wǎng)段之間流通。
[root@open***-server ~]# /usr/local/sbin/open*** --config /etc/server.conf &??? #啟動(dòng)***，加入后臺(tái)運(yùn)行
[root@open***-server ~]# netstat -anpt |grep open***
tcp??????? 0????? 0 0.0.0.0:1194??????????????? 0.0.0.0:*?????????????????? LISTEN????? 51774/open***????

5.客戶端配置(安裝包在文檔前面提供的下載鏈接里)

登陸到linux端open***服務(wù)器上，將/opt/open***-2.0.9/sample-config-files目錄下的cleint.conf

文件下載到windows端***客戶端機(jī)器上，放到C:\\Program Files (x86)\\Open×××\\config目錄下，重命名為client1.o*** ,將/opt/open***-2.0.9/easy-rsa/2.0/keys目錄下的ca.crt ,client1.crt ,client1.key三個(gè)文件下載到windows端***客戶端機(jī)器上，放到C:\\Program Files (x86)\\Open×××\\config目錄下。

編輯C:\\Program Files (x86)\\Open×××\\config目錄下的client1.o***文件

proto tcp????? #將proto udp改成proto tcp

remote 192.168.1.236 1194???

ca ca.crt
cert client1.crt
key client1.key

#comp-lzo?? #注釋comp-lzo

6.客戶端連接***

點(diǎn)擊windows右下角的Open××× GUI圖標(biāo)，選擇connect。

由上圖可見(jiàn)，客戶端已經(jīng)獲取到***-server分配的ip地址。

7.注銷(xiāo)***用戶

注：由于***用在企業(yè)中，***的服務(wù)端會(huì)為每個(gè)***客戶端建立證書(shū)文件，如果有同事離職，需要注銷(xiāo)用戶，例client1用戶：

[root@open***-server ~]# cd /opt/open***-2.0.9/easy-rsa/2.0/

[root@open***-server 2.0]# ./revoke-full client1

Please source the vars script first (i.e. "source ./vars")
Make sure you have edited it to reflect your configuration.

提示以上信息需做一下操作

[root@open***-server 2.0]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /opt/open***-2.0.9/easy-rsa/2.0/keys

然后在執(zhí)行注銷(xiāo)

[root@open***-server 2.0]# ./revoke-full client1

?注：出現(xiàn)以上錯(cuò)誤正常，這是open***自身的bug，解決方法如下

[root@open***-server 2.0]# vi /opt/open***-2.0.9/easy-rsa/2.0/openssl.cnf

?再次執(zhí)行注銷(xiāo)

[root@open***-server 2.0]# ./revoke-full client1

?如上圖，出現(xiàn)error23字樣，表示注銷(xiāo)成功，不過(guò)你會(huì)發(fā)現(xiàn)這個(gè)證書(shū)任然能登陸，原因是上面的操作在keys下產(chǎn)生了crl.pem文件，里面就是注銷(xiāo)掉的證書(shū)。也就是說(shuō)相關(guān)證書(shū)還未完全注銷(xiāo)，需做以下操作：

[root@open***-server 2.0]# vi /etc/server.conf

crl -verify /opt/open***-2.0.9/easy-rsa/2.0/keys/crl.pem????? #添加本行內(nèi)容

重啟open***，發(fā)現(xiàn)客戶端已經(jīng)不能登陸***了。

轉(zhuǎn)載于:https://blog.51cto.com/201438gz/1608048

總結(jié)

以上是生活随笔為你收集整理的open***的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。