上接  open*** 证书秘钥结合用户密码双重认证(1)服务器端设置

五、配置客户端-上海站点

1.安装软件

YUM可以使用互联网上的;建议使用一些邮件或者网盘的形式共享,还记得之前

VP服务器上缓存的软件包吗,当然也许两台机器环境不一样,依赖包可能不同,这根据自

己的情况定吧。

$yum -y install open***


2.用你认为合适且安全的途径,把上海站点需要的CA证书、自己的证书和私钥等文件,

 从×××服务器那里搞过来,确保在以及目录里有这些文件。

$sudo ls   /etc/open***/

ca.crt  sh-client.crt   sh-client-key   ta.key


3.配置客户端文件

$cd /usr/share/doc/open***-2.3.11/sample/sample-config-files

$sudo  cp client.conf    /etc/open***/clent.conf

$sudo vim  /etc/open***/clent.conf

client
dev    tun
proto    tcp
remote     1.1.1.1        1194                                    //×××服务器的监听地址和端口
no-bind
user    nobody
group    nobody
persist-key
persist-tun
ca    ca.crt
cert    sh-client.crt
key    sh-client.key
ns-cert-type    server
tls-auth    ta.key    1
comp-lzo
verb     3
mute    20

#添加这个参数,表示会用用户名密码认证

auth-user-pass


4.在这台客户端上开启内核路由转发

$sudo  sed   -i   '/^net.ipv4_forward  =   .*/cnet.ipv4.ip_forward   =   1'     /etc/sysctl.conf

$sudo sysctl  -p

注意:这里我没有启动日志信息,也许你会需要它,请参考×××服务器配置文件的说明


六、配置客户端-郑州站点

郑州站点的配置和上海的基本一样,区别就是使用到自己的证书和私钥,这里就不再赘述。


七、出差人员客户端(win7)的配置


1.安装软件

可以去网上下载

可以从我的百度网盘下:

http://pan.baidu.com/s/1qYQVoV6

2.安装软件

这里值得注意的只有一点
就是安装时,会安装为签名的虚拟网卡,选择信任安装就好了。如下图:



3.配置客户端文件

先找到软件安装目录,在Open×××的桌面图标上右击选择属性,出现下图:







接下来,找到Open×××的安装主目录

在 sample-config 文件夹下有实例配置文档:client或者似乎clien.o***,把它复制到上级目录 config中

之后修改这个文件成为以下内容:

client

dev tun

proto tcp

remote 1.1.1.1 1194

resolv-retry infinite

nobind

user nobody

group nobody

persist-key

persist-tun

ca ca.crt

cert xiguatian-client.crt

key xituatian-client.key

remote-cert-tls server

tls-auth ta.key 1

cipher BF-CBC       //这个注意,在windows客户端情况下,还是用明确指出的好

comp-lzo

verb 3

mute 20

auth-user-pass    //定义询问用户名和密码进行验证

############################## The   end ################################

值此,open***,基于证书和私钥以及用户名密码的双重验证配置完毕,并服务端和客户端以及各个站点互相之间都可以访问了。