Centos7.7 作为服务端
Windows 10 作为客户端

关闭selinux和防火墙

[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce 
[root@localhost ~]#systemctl stop firewalld

安装epel仓库和openvpn, Easy-RSA

[root@localhost ~]# yum -y install epel-release && yum -y install openvpn easy-rsa

配置EASY-RSA 3.0
在/etc/openvpn文件夹下面创建easy-rsa文件夹,在easy-rsa下创建vars文件,并把相关文件复制进去

[root@localhost ~]# cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
[root@localhost ~]# cp -p /usr/share/doc/easy-rsa-3.0.8/vars.example /etc/openvpn/easy-rsa/vars

创建OpenVPN相关的密钥
将创建CA密钥,server端、client端密钥,DH和CRL PEM, TLS认证钥匙ta.key。

[root@localhost easy-rsa]# cd /etc/openvpn/easy-rsa/
[root@localhost easy-rsa]#./easyrsa init-pki

在这里插入图片描述

[root@localhost easy-rsa]# ./easyrsa build-ca nopass

在这里插入图片描述
创建服务器密钥
创建服务器密钥名称为 server1.key

[root@localhost easy-rsa]# ./easyrsa gen-req server1 nopass

在这里插入图片描述

用CA证书签署server1密钥

[root@localhost easy-rsa]# ./easyrsa sign-req server server1

在这里插入图片描述
创建客户端密钥
创建客户端密钥名称为 client1.key

[root@localhost easy-rsa]# ./easyrsa gen-req client1 nopass

在这里插入图片描述

用CA证书签署client1密钥

[root@localhost easy-rsa]# ./easyrsa sign-req client client1

在这里插入图片描述

创建DH密钥
根据在顶部创建的vars配置文件生成2048位的密钥

[root@localhost easy-rsa]# ./easyrsa gen-dh

在这里插入图片描述

创建TLS认证密钥

[root@localhost easy-rsa]# openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key

生成 证书撤销列表(CRL)密钥
CRL(证书撤销列表)密钥用于撤销客户端密钥。如果服务器上有多个客户端证书,希望删除某个密钥,那么只需使用./easyrsa revoke NAME这个命令撤销即可。

生成CRL密钥:

[root@localhost easy-rsa]# ./easyrsa  gen-crl

在这里插入图片描述


复制证书文件
复制ca证书,ta.key和server端证书及密钥到/etc/openvpn/server文件夹里

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/issued/server1.crt /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p pki/private/server1.key /etc/openvpn/server/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/server/

复制ca证书,ta.key和client端证书及密钥到/etc/openvpn/client文件夹里

[root@localhost easy-rsa]# cp -p pki/ca.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/issued/client1.crt /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p pki/private/client1.key /etc/openvpn/client/
[root@localhost easy-rsa]# cp -p ta.key /etc/openvpn/client/

复制dh.pem , crl.pem到/etc/openvpn/client文件夹里

[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/server/
[root@localhost easy-rsa]# cp pki/crl.pem /etc/openvpn/server/
Logo

为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。

更多推荐