使用EasyRsa3为OpenV pn生成和吊销证书

已于 2024-11-15 09:10:21 修改
阅读量2.7k 收藏 8
点赞数
分类专栏: 系统运维 运维安全 文章标签: linux EasyRsa3 RSA3
于 2017-10-31 11:01:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianghong000/article/details/118152979
版权

一、生成证书

1. 下载Easy RSA3

下载完并解压后,拷贝一份到/etc/open***和/home/client下

#2.3版本需要独立下载个easy-rsa,该包用来制作ca证书,服务端证书,客户端证书
wget -c https://github.com/Open×××/easy-rsa/archive/master.zip
unzip master.zip 
mv easy-rsa-master easy-rsa

2. 生成服务器端证书

cd /etc/open***/easy-rsa/easyrsa3

cp vars.example vars  #一般情况下,默认的配置可以满足需求,也可以根据需要修改
./easyrsa init-pki   #建立一个空的pki结构,生成一系列的文件和目录
./easyrsa build-ca   #创建ca  密码 和 cn那么需要记住
./easyrsa gen-req server nopass  #创建服务端证书  common name 最好不要跟前面的cn那么一样
./easyrsa sign server server   #签约服务端证书
./easyrsa gen-dh  #创建Diffie-Hellman

3. 生成客户端证书

#下面是客户端的证书
#首先创建一个工作的目录
cd /home/
mkdir client && cd client
cp -R ~/easy-rsa/ ./   #这是解压过的easy-rsa 而不是生成了服务端证书的easy-rsa
cd easy-rsa/easyrsa3/
cp vars.example vars

#开始生成
./easyrsa init-pki
./easyrsa gen-req orangleliu #用自己的名字,需要创建一个密码  和 cn name,自己用的 需要记住

4. 客户签约服务

#现在客户端的证书要跟服务端的交互,也就是签约,这样这个用户才能使用此***
#切换到server证书目录下
cd /etc/open***/easy-rsa/easyrsa3/ 
./easyrsa import-req /home/client/easy-rsa/easyrsa3/pki/reqs/orangleliu.req orangleliu  #导入req
./easyrsa sign client orangleliu #用户签约,根据提示输入服务端的ca密码

5. 整理服务端证书

cp /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /etc/open***/keys
cp /etc/open***/easy-rsa/easyrsa3/pki/private/server.key /etc/open***/keys
cp /etc/open***/easy-rsa/easyrsa3/pki/issued/server.crt /etc/open***/keys
cp /etc/open***/easy-rsa/easyrsa3/pki/dh.pem /etc/open***/keys

6. 修改Open×××配置文件

local 192.168.37.129
port 1194
proto udp
dev tun
ca 
/etc/open***/keys/
ca.crt
cert 
/etc/open***/keys/
server.crt
key 
/etc/open***/keys/server.key
  # This file should be kept secret
dh 
/etc/open***/keys/
dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"

comp-lzo
max-clients 100
keepalive 10 120
persist-key
persist-tun
status open***-status.log
verb 3

7. 启动Open×××服务

[root@localhost easyrsa3]# service open*** start

8. 整理client证书

mkdir /home/myclient
cp /etc/open***/easy-rsa/easyrsa3/pki/ca.crt /home/myclient/
cp /etc/open***/easy-rsa/easyrsa3/pki/issued/orangleliu.crt  /home/myclient/
cp /home/client/easy-rsa/easyrsa3/pki/private/orangleliu.key /home/myclient/

9. 修改Client配置

# 复制一份client.conf模板命名为client.o***
cp /usr/share/doc/open***-2.3.2/sample/sample-config-files/client.conf client.o***
# 编辑client.o***
vim client.o***

client
dev tun
proto udp
# Open×××服务器的外网IP和端口
remote 203.195.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert orangleliu.crt  # client1的证书
key orangleliu.key  # client1的密钥
ns-cert-type server

comp-lzo
verb 3

并将client.o*** 拷贝到/home/myclient供客户使用

10. 将客户证书和配置文件移到客户端

将/home/myclient下的文件copy到客户端的conf文件夹下。

二、吊销证书

Open×××使用easy-rsa3吊销证书
cd /etc/open***/easy-rsa/easyrsa3
./easyrsa revoke targetkey(证书名)
./easyrsa gen-crl

其中gen-crl会生成一份吊销证书的名单,放在/etc/open***/easy-rsa/easyrsa3/pki/crl.pem文件里

最后再server.conf文件中增加此项:

crl-verify /etc/open***/easy-rsa/easyrsa3/pki/crl.pem

特别说明:吊销的证书不会立刻被删除文件,所以要再次创建相同的证书则要删除crt文件,通常放在pki/issued文件夹下。

使用 OpenVPN, Easy RSA 配置虚拟专用网络
还没想好昵称的新建p的博客
07-12 1579
本文大致介绍了如何使用 OpenVPN, Easy RSA 等配置虚拟专用网络. 本文为教育目的, 请遵守相关法律.
Rsa 3 证书吊销
dyndingyannan的博客
05-11 877
在我们的案例中,我们使用简单的rsa 3脚本来吊销OpenVPN服务的SSL/TLS证书。在这一行中,我在tls auth行之后添加了crl-verify“C:\\Program Files\OpenVPN\\easy rsa\\\pki\\crl.pem”一行。因此,这意味着现在我们的openVPN客户端证书是有效的,可以从客户端使用证书进行openVPN身份验证。现在,为了显示我们当前使用的客户端证书的详细信息,可以通过发出以下命令来获取。在此命令中,将客户端字段替换为您自己的客户端证书名称。
easy-rsa 项目使用教程
最新发布
gitblog_01189的博客
10-11 1298
easy-rsa 项目使用教程 项目地址:https://gitcode.com/gh_mirrors/ea/easy-rsa 1. 项目的目录结构及介绍 easy-rsa 是一个用于构建管理 PKI CA(公钥基础设施证书颁发机构)的简单 shell 工具。以下是项目的目录结构及其介绍: easy-rsa/ ├── COPYING.md ├── ChangeLog ├── KNOWN_ISSU...
openvpn证书生成教程
完颜振江
02-14 3820
这些步骤可以帮助您生成OpenVPN所需的证书密钥。请根据您的具体需求环境进行相应调整。
生成证书脚本
Valiant 的博客
09-28 244
# coding=utf-8 import os from os.path import join as path_join #join 使用指定的连接符,连接字符串 key_dir = '/etc/openvpn/keys' name_key = '/etc/openvpn/easy-rsa/3/pki/private' name_crt = '/etc/openvpn/easy-rsa/3/pki/issued' ovpn_dir = '/etc/openvpn/open_keys/keys/' d
Knife4j是一个集Swagger2 OpenAPI3为一体的增强解决方案
10-09
Knife4j是一个集Swagger2 OpenAPI3为一体的增强解决方案。前后端Java代码以及前端Ui模块进行分离,在微服务架构下使用更加灵活。提供专注于Swagger的增强解决方案,不同于只是改善增强前端Ui部分。提供更多灵活的...
OpenV2G Files v0.9.5
09-24
OpenV2G - an open source project implementing the basic functionality of the ISO IEC 15118 vehicle to grid (V2G) communication interface Version 0.9.5, released March 11, 2022
OpenV2G-开源
05-30
OpenV2G - 一个开源项目,实现了 ISO IEC 15118 DIN 70121 车辆到电网 (V2G) 通信接口的编码功能。 OpenV2G 堆栈提供数据绑定器功能,允许您将 C 结构序列化为 V2G 兼容 (EXI) 消息,反之亦然。 注意:即将推出的...
easyRsa3.1的tar包
09-28
easyRsa3.1的tar包
openv识别代码详细教程
03-10
使用开源工具如LabelImg进行边界框标注,然后将数据集划分为训练集验证集。 2. **模型转换**:使用Model Optimizer将训练好的模型转换为IR(Intermediate Representation)格式,这是OpenVINO能够理解的模型文件...
使用easyrsa3来制作证书
08-13
NULL 博文链接:https://openwrt.iteye.com/blog/2305318
EasyRSA-3.0.1
01-25
This is a quickstart guide to using Easy-RSA version 3. Detailed help on usage and specific commands by running easyrsa with the 'help' command. Additional documentation can be found in the doc/ directory. If you're upgrading from the Easy-RSA 2.x series there are Upgrade-Notes available, also under the doc/ path.
easy-rsa 证书详解
YFHCSDN的博客
10-08 3545
rsa证书 个人总结
Linux easy-rsa制作证书
热门推荐
风色幻想的博客
03-24 5万+
下载配置 下载:yum install easy-rsa -y 将easy-eas拷贝到工作目录:cp -r /usr/share/easy-rsa/3.0.3/* /etc/openvpn/easy-rsa/ 拷贝vars文件(easy-esa 3.*后的版本没有默认vars文件,好像改成了vars.example):cp -p /usr/share/doc/easy-rsa-3.0.3/va...
open***2.2.2吊销客户端证书
weixin_34306676的博客
05-09 286
1、进入特定的目录,并执行吊销证书的命令[root@open***-servereasy-rsa]#cd/tools/open***/open***-2.2.2/easy-rsa/2.0/ [root@open***-server2.0]#ls build-cabuild-key-pkcs12inherit-interopenssl-...
Easy-RSA 3快速入门自述文件
a226433955的博客
10-16 1131
Easy-RSA 3快速入门自述文件 这是使用Easy-RSA版本3的快速入门指南。运行./easyrsa -h可以找到有关使用特定命令的详细帮助。可以在doc /目录中找到其他文档。 如果您从Easy-RSA 2.x系列升级,则可以使用doc-path下的Upgrade-Notes。 设置并签署第一个请求 以下是启动新PKI并签署您的第一个实体证书需要进行的快速运行: ...
openvpn部署
这是一个将要崛起小达人
07-21 1万+
openvpn搭建大致步骤
菜鸟玩云计算之七:Ubuntu 之 ssh 无密码登录
云计算?
10-31 142
菜鸟玩云计算之七:Ubuntu 之 ssh 无密码登录 2012-10-30 created 2012-11-1 last updated 当超过3台机器搞到一起, 管理起来就会陷入混乱不堪. 因此需要证书登录的方式来管理服务器集群. master节点可以直接ssh登录到数据节点. 控制节点可以直接登录到被控制的节点.借用C/S的概念, 客户机需要安装openssh-client, 服务器需要安装...
完整的openvpn 服务端搭建,小白也能搭建!!网上最全的openvpn 服务端搭建文档之一,附带客户端创建管理的脚本
weixin_42474071的博客
11-19 1万+
最近想尝试通过openvpn连接连接家里的nas手机进行照片传输分享。加上之前从网上找教程,搞了很久才搞出服务端,但是但是当时不太了解,导致部署的openvpn server可以使用,但是感觉摇摇欲坠,像是一堆bug的软件,自己都不知道为啥可以用了。这次趁着有时间,也有需求就重新搭建了。由于网上各种教程参差不齐,所以自己写一个完成过程的笔记。以方便自己日后使用,也方便其他人参考。PS:不知道为啥群晖上导入客户端证书会提示无效证书,已经找群晖技术支持,目前还没反馈。有大佬知道要怎么搞可以说一下吗。
openv技术实现木板数量识别教程
OpenV是一个开源的计算机视觉库,它为图像处理物体识别提供了丰富的功能。通过这个教程,您将学会如何编写代码来识别图像中的木板数量。 ### 1. OpenV简介 OpenV是一个基于C++的开源计算机视觉库,它提供了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑、在路上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值