devbox
盐析白兔
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

OpenVPN SSL/TLS方式连接

作者:盐析白兔 | 2024-03-08 21:26:46

OpenVPN SSL/TLS方式连接

一. 前言

        本文介绍OpenVPN最后一种连接方式,通过SSL/TLS认证方式连接,也就是利用公钥密码那套:首先生成根证书秘钥、利用根证书秘钥创建根证书、生成服务器私钥,利用根证书签发服务器证书,生成Diffie-Hellman文件(用于密钥交换)、生成客户端私钥,利用根证书签发客户端证书。

        注意:OpenVPN的服务器和客户端都拥有自己的私钥和公钥,服务器和客户端是通过验证对方的证书来确定对方的合法性,所以,这里服务器的证书和客户端的证书都是由同一个根证书签发的。

        本文仍然以服务器和单个客户端的方式来介绍OpenVPN的SSL/TLS的连接方式。

二. 私钥和证书文件创建

        本文以openssl命令来创建所有的文件。建议新建一个文件路径,在这个目录中生成所有文件。

1. 创建根证书私钥文件
openssl genpkey -algorithm RSA -out ca.key -aes256

        该命令生成一个根证书的私钥文件,该私钥用aes256对称加密算法加密。

2. 利用私钥创建根证书
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

        该命令生成根证书文件ca.crt。证书利用sha256哈希处理,证书有效期为10年。

3. 创建服务器私钥文件
openssl genpkey -algorithm RSA -out server.key -aes256

        该命令会生成服务器的私钥文件,其中包含服务器的私钥

4. 创建服务器证书签名请求文件
openssl req -new -key server.key -out server.csr

        该命令用于生成服务器向根证书请求证书的请求文件,输完会有如下提示,按照要求填写即可:

  1. # openssl req -new -key server.key -out server.csr
  2. You are about to be asked to enter information that will be incorporated
  3. into your certificate request.
  4. What you are about to enter is what is called a Distinguished Name or a DN.
  5. There are quite a few fields but you can leave some blank
  6. For some fields there will be a default value,
  7. If you enter '.', the field will be left blank.
  8. -----
  9. Country Name (2 letter code) [XX]:CN
  10. State or Province Name (full name) []:GuangDong
  11. Locality Name (eg, city) [Default City]:GuangZhou
  12. Organization Name (eg, company) [Default Company Ltd]:xxxx
  13. Organizational Unit Name (eg, section) []:xxxx
  14. Common Name (eg, your name or your server's hostname) []:xxxx
  15. Email Address []:xxxx
  17. Please enter the following 'extra' attributes
  18. to be sent with your certificate request
  19. A challenge password []:
  20. An optional company name []:
5. 利用根证书签发服务器证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256

        该命令利用证书签名请求文件,使用根证书签发服务器证书。输完命令会提示输入密码,密码就是创建根证书使用的私钥

6. 生成 Diffie-Hellman 参数文件
openssl dhparam -out dh.pem 2048

        该命令用于生成密钥交换文件。用于秘钥协商阶段。

7. 创建客户端私钥文件
openssl genpkey -algorithm RSA -out client.key -aes256
8. 创建客户端证书签名请求文件
openssl req -new -key client.key -out client.csr
9. 利用根证书签发客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650 -sha256

        步骤7-9同服务器一样,这里就不多赘述。

10. 证书验证
openssl verify -CAfile ca.crt server.crt
openssl verify -CAfile ca.crt client.crt

        以上命令用于验证证书链是否完整,确保生成的证书无误,如果中间还有别的中间证书,可以通过-untrusted xxx.crt加入中间证书。

至此,我们得到了如下文件:

ca.crt:根证书

server.key:服务器私钥

server.crt:服务器证书

dh.pem:秘钥交换文件

client.key:客户端私钥

client.crt:客户端证书

        将ca.crt,server.key,server.crt和dh.pem拷贝到服务器的配置文件路径,将ca.crt,client.key和client.crt拷贝到客户端的配置文件路径。至此,用于SSL/TLS的证书完成。

三. 服务器

1. 配置文件
  1. dev tun
  2. ifconfig 10.8.0.1 10.8.0.2
  3. tls-server
  4.  
  5. ca ca.crt
  6. cert server.crt
  7. key server.key
  8. dh dh.pem
  9.  
  10. status openvpn-status.log
  11. log /var/log/openvpn.log

这里新增加了tls-server,ca,cert,key和dh选项,各个选项含义如下:

tls-server:开启TLS,并且角色为TLS服务器端。

ca:指定ca根证书

cert:指定服务器证书

key:指定服务器私钥

dh:指定秘钥交换文件

2. 启动命令
openvpn --cd /etc/openvpn --config server.conf

四. 客户端

1. 配置文件
  1. dev tun
  2. proto udp
  3. tls-client
  4.  
  5. remote 192.168.5.100 1194
  6. ifconfig 10.8.0.2 10.8.0.1
  7. verb 3
  8.  
  9. ca ca.crt
  10. cert client.crt
  11. key client.key
  12.  
  13. status openvpn-status.log  
  14. log openvpn.log

        选项在前面都介绍过,此处不在赘述。

2.启动命令
openvpn --cd /etc/openvpn --config client.conf

五. 总结

        本文介绍了OpenVPN SSL/TLS的连接方式,从证书的生成到配置文件的配置,本文介绍的仍然是最简单的单客户端和服务器的模式。SSL/TLS方式的底层技术是RSA公钥密码,所以非常安全,相比于静态秘钥的方式,该方式适用于多客户端的模式。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/212181
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号