OpenVPN SSL/TLS方式连接

最新推荐文章于 2024-05-26 12:43:54 发布
最新推荐文章于 2024-05-26 12:43:54 发布
阅读量2.4k 收藏 6
点赞数 13
分类专栏: 开源软件学习总结 文章标签: ssl linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_be_better_wen/article/details/135440727
版权

一. 前言

        本文介绍OpenVPN最后一种连接方式,通过SSL/TLS认证方式连接,也就是利用公钥密码那套:首先生成根证书秘钥、利用根证书秘钥创建根证书、生成服务器私钥,利用根证书签发服务器证书,生成Diffie-Hellman文件(用于密钥交换)、生成客户端私钥,利用根证书签发客户端证书。

        注意:OpenVPN的服务器和客户端都拥有自己的私钥和公钥,服务器和客户端是通过验证对方的证书来确定对方的合法性,所以,这里服务器的证书和客户端的证书都是由同一个根证书签发的。

        本文仍然以服务器和单个客户端的方式来介绍OpenVPN的SSL/TLS的连接方式。

二. 私钥和证书文件创建

        本文以openssl命令来创建所有的文件。建议新建一个文件路径,在这个目录中生成所有文件。

1. 创建根证书私钥文件
openssl genpkey -algorithm RSA -out ca.key -aes256

        该命令生成一个根证书的私钥文件,该私钥用aes256对称加密算法加密。

2. 利用私钥创建根证书
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

        该命令生成根证书文件ca.crt。证书利用sha256哈希处理,证书有效期为10年。

3. 创建服务器私钥文件
openssl genpkey -algorithm RSA -out server.key -aes256

        该命令会生成服务器的私钥文件,其中包含服务器的私钥

4. 创建服务器证书签名请求文件
openssl req -new -key server.key -out server.csr

        该命令用于生成服务器向根证书请求证书的请求文件,输完会有如下提示,按照要求填写即可:

# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:GuangZhou
Organization Name (eg, company) [Default Company Ltd]:xxxx
Organizational Unit Name (eg, section) []:xxxx
Common Name (eg, your name or your server's hostname) []:xxxx
Email Address []:xxxx

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
5. 利用根证书签发服务器证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256

        该命令利用证书签名请求文件,使用根证书签发服务器证书。输完命令会提示输入密码,密码就是创建根证书使用的私钥

6. 生成 Diffie-Hellman 参数文件
openssl dhparam -out dh.pem 2048

        该命令用于生成密钥交换文件。用于秘钥协商阶段。

7. 创建客户端私钥文件
openssl genpkey -algorithm RSA -out client.key -aes256
8. 创建客户端证书签名请求文件
openssl req -new -key client.key -out client.csr
9. 利用根证书签发客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650 -sha256

        步骤7-9同服务器一样,这里就不多赘述。

10. 证书验证
openssl verify -CAfile ca.crt server.crt
openssl verify -CAfile ca.crt client.crt

        以上命令用于验证证书链是否完整,确保生成的证书无误,如果中间还有别的中间证书,可以通过-untrusted xxx.crt加入中间证书。

至此,我们得到了如下文件:

ca.crt:根证书

server.key:服务器私钥

server.crt:服务器证书

dh.pem:秘钥交换文件

client.key:客户端私钥

client.crt:客户端证书

        将ca.crt,server.key,server.crt和dh.pem拷贝到服务器的配置文件路径,将ca.crt,client.key和client.crt拷贝到客户端的配置文件路径。至此,用于SSL/TLS的证书完成。

三. 服务器

1. 配置文件
dev tun
ifconfig 10.8.0.1 10.8.0.2
tls-server

ca ca.crt
cert server.crt
key server.key
dh dh.pem

status openvpn-status.log
log /var/log/openvpn.log

这里新增加了tls-server,ca,cert,key和dh选项,各个选项含义如下:

tls-server:开启TLS,并且角色为TLS服务器端。

ca:指定ca根证书

cert:指定服务器证书

key:指定服务器私钥

dh:指定秘钥交换文件

2. 启动命令
openvpn --cd /etc/openvpn --config server.conf

四. 客户端

1. 配置文件
dev tun
proto udp
tls-client

remote 192.168.5.100 1194
ifconfig 10.8.0.2 10.8.0.1
verb 3

ca ca.crt
cert client.crt
key client.key

status openvpn-status.log  
log openvpn.log

        选项在前面都介绍过,此处不在赘述。

2.启动命令
openvpn --cd /etc/openvpn --config client.conf

五. 总结

        本文介绍了OpenVPN SSL/TLS的连接方式,从证书的生成到配置文件的配置,本文介绍的仍然是最简单的单客户端和服务器的模式。SSL/TLS方式的底层技术是RSA公钥密码,所以非常安全,相比于静态秘钥的方式,该方式适用于多客户端的模式。

to_be_better_wen
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Vyos OpenVPN (SSL TLS+User Auth) 本地PAM认证 SSLVPN服务器搭建
taylorgogo
06-01 1301
Vyos 基于OpenVPN的 多客户端拨入 PAM本地用户认证 SSLVPN
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
OpenVPN的部署连接(linux客户端版),附脚本操作
m0_58833554的博客
03-11 2876
OpenVPNlinux部署连接方式
SSL/TLS原理详解
US_579的博客
03-16 457
https://segmentfault.com/a/1190000002554673
2、OpenVPN搭建
最新发布
weixin_46371752的博客
05-26 3417
搭建OpenVPN,centos7搭建VPN,centos7部署OpenVPNlinux如何搭建VPN服务,cetnos7如何部署OpenVPN,centos7如何部署VPN服务
OpenVPN配置同时支持TCP和UDP协议
nochunge的博客
01-10 2035
选用了当前普遍使用的UDP协议,因为终端部署在世界各地,有些地方的网络供应商对联网进行了限制,不能使用UDP协议,所以需要在这基础上增加一个TCP协议。按上述的操作完可以接受外部的请求,但是如果先启动udp再启动tcp的话,会导致udp注册的客户端无法连接,我们需要给每个IP设置固定的路由。如果有其他的需求,我们只需要添加类似的路由规则即好了,如果要对某个终端的网络模式进行修改,只需要执行。解析:tunudp这是我们在udp.conf里面指定的udp模式启动后使用的设备。
六、SSL开源项目-Open虚拟私有网络
小脑斧的博客
08-16 3161
OpenVPN是近年来新出现的开放源码项目,实现了SSL VPN的一种解决方案。
SSL/TLS虚拟专用网络
fjp_09的博客
12-15 200
认证过程:在SSL/TLS的握手过程中,客户端和服务端分别使用对方的证书来进行认证。 加密过程:在SSL/TLS的握手过程中,客户端和服务端使用非对称算法计算出对称密钥进行数据加密 tun/tap设备 OpenVPN-特性 ...
windows的openVpn客户端连接服务器时tls报错
u010921364的博客
02-21 899
1.配置错误,检查加密方式配置与服务器是否一致;2.客户端与服务器的。。。
启用tls的情况下openvpn配置文件合并到ovpn文件
littlebird4的博客
10-08 1418
openvpn
深信服SSL VPN产品技术白皮书
05-04
深信服SSL VPN产品技术白皮书
Qt实现的SSL通信客户端和服务器
06-24
`QTcpSocket`是基础的TCP套接字,而`QSslSocket`在其之上添加了SSL/TLS(Transport Layer Security,SSL的后续版本)的支持,可以提供端到端的安全加密。 对于服务器端,我们需要做以下步骤: 1. 创建`QSslServer`...
南方电网SSL VPN系统案例
03-04
南方电网的 IT 部门选择了深信服科技的 SSL VPN 产品,这款产品凭借超强的安全性、最快的传输速度以及易于使用的操作方式,满足了南方电网对 SSL VPN 系统的要求。 深信服 SSL VPN 设备支持多种认证方式,包括...
关于vpn考试必会的20道题
05-13
关于vpn考试必会的20道题
Linux C/C++实现SSL的应用层VPN (MiniVPN)
chen1415886044的博客
09-17 1981
SSL协议,全称安全套接层(Secure Sockets Layer),是一种广泛应用于互联网的安全协议,主要在两个通信端点之间建立安全连接,以保护数据的传输安全。具体来说,SSL通过使用公钥加密算法实现数据的加密和解密,在客户端和服务器之间建立安全的通信通道。它还使用数字证书来验证通信双方的的身份,一旦身份验证成功,SSL就会使用加密算法对通信数据进行加密,确保数据在传输过程中不被篡改或窃取。 VPN是一种可以在公共网络上建立加密通道的技术,通过这种技术可以使远程用户访问公司内部网络资源时,实现安全的连
openssl生成SSL证书的流程
热门推荐
moonhillcity的博客
10-09 2万+
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,
传输层安全性(TLS):保护互联网通信的隐私和完整性
JAZJD的博客
05-01 1067
TLS(传输层安全性)是一种广泛采用的安全协议,用于保障互联网通信的私密性和数据完整性。它的主要目的是加密网络通信,确保数据在传输过程中不会被窃取、篡改或伪造。TLS主要用于保护Web应用程序和服务器之间的通信,使得敏感信息如用户登录凭据、信用卡信息等在传输过程中得到保护。此外,TLS还可以用于加密其他类型的通信,包括电子邮件、消息传递和IP语音(VoIP)等。TLS实现了加密、身份验证和完整性三大功能。在TLS握手过程中,通信双方协商TLS版本、密码套件,并进行身份验证,最终生成会话密钥用于加密通信。
推荐项目:麒麟SSL VPN - 安全、灵活的远程访问解决方案
gitblog_00076的博客
04-03 716
推荐项目:麒麟SSL VPN - 安全、灵活的远程访问解决方案 项目地址:https://gitcode.com/baoleiji/Qilin-SSLVPN 麒麟SSL VPN 是一个开源的、基于Web的SSL虚拟私人网络系统,旨在提供安全、高效且易于管理的远程访问服务。这款项目采用现代化的技术栈,为用户提供了一种简单但强大的方式来接入企业内部网络,无论是移动办公还是分布式团队协作,都能得到理想的...
openvpn查看连接人数
06-01
要查看OpenVPN服务器上的连接人数,可以使用以下命令: ``` sudo systemctl status openvpn@server ``` 其中,@server是你的OpenVPN配置文件的名称。在该命令的输出中,你应该看到类似以下内容的行: ``` Active: active (running) since Mon 2021-10-18 15:06:18 UTC; 3 weeks 1 days ago ``` 在该行中,你可以看到服务器自从启动以来的运行时间。你还可以查看当前连接的客户端数量,该数量列在以下行中: ``` TCP/UDP: Listening on [AF_INET]0.0.0.0:1194 (IPv4 Any) ``` 在该行中,你可以看到服务器正在监听的端口号。如果你正在使用TCP模式,则应该看到“TCP”;如果你正在使用UDP模式,则应该看到“UDP”。接下来,你应该看到服务器正在监听的IP地址和端口号。例如,上面的输出中,服务器正在监听所有IPv4地址的1194端口。如果有客户端连接到服务器,则应该看到类似以下内容的行: ``` Peer Connection Initiated with [AF_INET]192.168.1.100:1194 ``` 在该行中,你可以看到客户端的IP地址和端口号。如果有多个客户端连接到服务器,则应该有多个这样的行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值