devbox
繁依Fanyi0
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

VPN相关知识_you appear to be sourcing an easy-rsa 'vars' file.

作者:繁依Fanyi0 | 2024-07-10 08:17:28

you appear to be sourcing an easy-rsa 'vars' file. this is no longer necessa

加密隧道服务概述

 应用的场景

  •     运营:通过OpenVPN实现网站安全登录:(后台管理地址,设置为只能能通过vpn访问.)
  •     开发:通过OpenVPN让开发与测试人员连接网站,进行开发测试(在家的时候) 
  •     运维:通过OpenVPN让各种用户(运维)连接网站内网服务器,或者是连接JMS

OpenVPN服务端配置

  •    环境准备

  • 证书准备流程
  1. 安装证书创建工具

           yum install -y  openvpn easy-rsa     ### 安装
           rpm -qa openvpn  ###检查是否安装成功,结果中只要有openvpn表示安装成功

      2.创建ca证书

            a 充当权威机构 修改vars文件

  1. mkdir -p   /opt/easy-rsa
  2. #已有的内容复制过去
  3. cp -a /usr/share/easy-rsa/3.0.8/*    /opt/easy-rsa/
  4. #准备配置文件
  5. cp  /usr/share/doc/easy-rsa-3.0.8/vars.example    /opt/easy-rsa/vars
  6. #书写配置内容
  7. cat  >/opt/easy-rsa/vars<<'EOF'
  8. if [ -z "$EASYRSA_CALLER" ]; then
  9. 	echo "You appear to be sourcing an Easy-RSA 'vars' file." >&2
  10. 	echo "This is no longer necessary and is disallowed. See the section called" >&2
  11. 	echo "'How to use this file' near the top comments for more details." >&2
  12. 	return 1
  13. fi
  14.  
  15. set_var EASYRSA_DN "cn_only"
  16. set_var EASYRSA_REQ_COUNTRY "CN"
  17. set_var EASYRSA_REQ_PROVINCE "Beijing"
  18. set_var EASYRSA_REQ_CITY "Beijing"
  19. set_var EASYRSA_REQ_ORG "oldboylinux"
  20. set_var EASYRSA_REQ_EMAIL "oldboy@qq.com"
  21. set_var EASYRSA_NS_SUPPORT "yes"
  22. EOF


        检查指令    cd /opt/easy-rsa

       b充当权威机构 创建ca证书 
 
         cd /opt/easy-rsa            ### 初始化,在当前目录创建PKI目录,用于存储证书 
        ./easyrsa init-pki            ###初始化,第1次的时候运行,后面不需要重复运行
        tree  结果中多了个pki目录即可
    创建根证书,会提示设置密码,用于ca对之后生成的server和client证书签名时使用,其他可默认  
         ./easyrsa build-ca
        Enter New CA Key Passphrase:          #输入密码 并保存好  4-1023位 
       Re-Enter New CA Key Passphrase:     #输入密码 并保存好
        Common Name (eg: your user, host, or server name) [Easy-RSA CA]:linux.cn   #域名即可
        检查结果:
        创建了文件/opt/easy-rsa/pki/ca.crt 检查是否有这个文件即可。


       3.创建server证书
  •      创建server端证书和私钥文件

            ./easyrsa gen-req server nopass    ###请求盖章
            ./easyrsa sign server server           ###盖章

  •      检查结果

             ll /opt/easy-rsa/pki/issued/server.crt
             ll /opt/easy-rsa/pki/private/server.key        

4.创建dh-pem 算法文件和目录汇总

  •     创建Diffie-Hellman文件,秘钥交换时的Diffie-Hellman算法

          ./easyrsa gen-dh          ###用于存放在服务端,生成一次即可
          /opt/easy-rsa/pki/dh.pem    ###检查结果  

5.创建client证书


       ./easyrsa gen-req client nopass       ####创建client端证书和私钥文件
       ./easyrsa sign client client    ###给client端证书签名,首先是对一些信息的确认,可以输入yes,然后创建ca根证书时设置的密码 
       ###检查命令
        ll /opt/easy-rsa/pki/private/client.key
        ll     /opt/easy-rsa/pki/issued/client.crt 

服务端使用的文件 服务端配置文件
/opt/easy-rsa/pki/ca.crt   /opt/easy-rsa/pki/ca.crt
/opt/easy-rsa/pki/dh.pem
 /opt/easy-rsa/pki/issued/server.crt/opt/easy-rsa/pki/issued/client.crt
/opt/easy-rsa/pki/private/server.key/opt/easy-rsa/pki/private/client.key
服务端配置文件 客户端配置文件 
6.服务端配置文件 
  •  书写openvpn服务端配置文件 
  1. vim /etc/openvpn/server/server.conf
  2. port 1194                               
  3. proto udp                               
  4. dev tun                                 
  5. ca   ca.crt                               
  6. cert server/server.crt                         
  7. key server/server.key                          
  8. dh server/dh.pem                               
  9. server 10.8.0.0 255.255.255.0           
  10. push "route 172.16.1.0 255.255.255.0"   
  11. #ifconfig-pool-persist ipp.txt           
  12. keepalive 10 120                        
  13. max-clients 100                         
  14. status /var/log/openvpn-status.log               
  15. log /var/log/openvpn.log                
  16. verb 3                                  
  17. client-to-client                        
  18. persist-key     
  19. persist-tun     
  20. duplicate-cn
  •  准备服务端需要的文件
  1. ###复制证书及密钥
  2. cd /opt/easy-rsa/pki/
  3. \cp  ca.crt /etc/openvpn/
  4. \cp dh.pem   /etc/openvpn/server/
  5. \cp   issued/server.crt   private/server.key    /etc/openvpn/server/
  • 修改systemctl配置文件

     vim   /usr/lib/systemd/system/openvpn@.service
      在%i前面加上 %i/即可,修改后的样子为:
     ExecStart=/usr/sbin/openvpn --cd /etc/openvpn/ --config %i/%i.conf
      systemctl daemon-reload 

  •  启动

    systemctl enable openvpn@server
    systemctl start openvpn@server 

  • 检查进程与端口

     ss -lntup |grep  1194
     ps -ef |grep openvpn 

客户端配置文件

  •  安装客户端
  • 书写配置文件

    存到临时目录client.ovpn

  1. client                  
  2. dev tun                 
  3. proto udp               
  4. remote 10.0.0.61 1194   
  5. resolv-retry infinite   
  6. nobind                  
  7. ca   ca.crt             
  8. cert client.crt         
  9. key client.key          
  10. verb 3                  
  11. persist-key 

  •  准备配置文件需要的文件

    sz /opt/easy-rsa/pki/ca.crt 
    sz /opt/easy-rsa/pki/issued/client.crt 
    sz /opt/easy-rsa/pki/private/client.key 

  • 上面的四个文件同时复制到vpn->openvpn->config

 可以启动客户端了(双击就可以连接啦)


    
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/805390
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号