环境:
一台Client,Debian桌面版
一台Server,Debian最小安装
软件:
openvn,version:2.4.7-1
easy-rsa,version:3.0.6-1
通过脚本,将客户端需要的证书粘贴进配置文件,简化客户端需要进行的操作
操作步骤:
*以下vn均指vpn
server
1.CA证书
apt install openvn easy-rsa
make-cadir /ca #创建CA目录,建立文件链接并准备相关文件
cd /ca
./easyrsa init-pki #初始化,会在当前目录创建pki目录
vim vars #编辑该配置文件来定义CA变量
dd if=/dev/urandom of=pki/.rnd bs=256 count=1
./easyrsa build-ca nopass #创建CA证书
2.创建服务器证书和密钥文件
./easyrsa gen-req vnserver nopass #生成请求文件
./easyrsa sign-req server vnserver #签名请求,生成服务器证书
./easyrsa gen-dh #生成DH密钥
openvn --genkey --secret ta.key #生成签名,增强TLS
3.将证书移动到文件夹
cp pki/private/vnserver.key /etc/openvn
cp pki/issued/vnserver.crt /etc/openvn
cp pki/ca.crt /etc/openvn
cp ta.key /etc/openvn
cp pki/dh.pem /etc/openvn
4.生成客户端证书和密钥对
./easyrsa gen-req vnclient01 nopass #生成客户端请求文件
./easyrsa sign-req client vnclient01 #签名请求,生成客户端证书
cp pki/issued/vnclient01.crt /etc/openvn/client
cp pki/private/vnclient01.key /etc/openvn/client
cp pki/ca.crt /etc/openvn/client
cp ta.key /etc/openvn/client
5.配置Openvn服务器文件
cp /usr/share/doc/openvn/examples/sample-config-files/server.conf.gz /etc/openvn
gzip -d server.conf.gz #解压文件
nano server.conf
![]()
nano /etc/sysctl.conf #开启路由转发
启动服务,设置开机启动
6.配置Openvn客户端
cp /usr/share/doc/openvn/examples/sample-config-files/client.conf /etc/openvn/client
remote <服务器IP地址> <端口号>
注释CA,CERT,KEY三条
cipher AES-256-GCM
7.编写脚本生成客户端配置文件
使用脚本将客户端证书,密钥,CA证书等写入配置文件
运行脚本,生成vnclient.conf
通过脚本,将证书复制进配置文件中
client
安装openvn
传输客户端配置文件
启动openvn,已经有tun0地址,配置成功