yum install openvpn easy-rsa openssl-devel
mkdir -p /etc/openvpn/easy-rsa/
cp -p /usr/share/doc/easy-rsa-3.0.3/vars.example /etc/openvpn/easy-rsa/vars
cp -r /usr/share/easy-rsa/3.0.3/* /etc/openvpn/easy-rsa/
cp /usr/share/doc/openvpn-2.4.6/sample/sample-config-files/server.conf /etc/openvpn/
vim /etc/openvpn/easy-rsa/vars
编辑vars文件:
set_var EASYRSA_REQ_COUNTRY "xxx" #国家
set_var EASYRSA_REQ_PROVINCE "xxx" #地区
set_var EASYRSA_REQ_CITY "xxx" #城市
set_var EASYRSA_REQ_ORG "xxx" #组织
set_var EASYRSA_REQ_EMAIL "xxx" #邮箱
set_var EASYRSA_REQ_OU "xxx" 拥有者
创建服务器端证书和key
cd /etc/openvpn/easy-rsa/
目录初始化,建立一个空的pki结构,生成一系列的文件和目录
./easyrsa init-pki
创建根证书,创建ca密码 和 cn那么需要记住,commonname单独定义个名字server
./easyrsa build-ca
xxx xxx server
创建服务器端证书,输入commonname单独定义不要与ca一样server-uv
./easyrsa gen-req server nopass
签约服务端证书,输入ca的密码创建服务端秘钥,输入yes同意创建
./easyrsa sign server server
创建Diffie-Hellman,确保key穿越不安全网络的命令
./easyrsa gen-dh
生成ta密钥文件(可以不需要创建),需要注释server.conf中tls-auth ta.key 0
openvpn --genkey --secret /etc/openvpn/easy-rsa/ta.key
创建客户端证书及key
创建过程同服务端
mkdir /root/client
cd /root/client
cp -r /usr/share/easy-rsa/3.0.3/* ./
./easyrsa init-pki
#客户端不需要创建根证书,注释
#./easyrsa build-ca
orangleliu 用自己的名字,需要创建一个密码 和 cn name,自己用的 需要记住
./easyrsa gen-req orangleliu
xxxx xxxx client
现在客户端的证书要跟服务端的交互,也就是签约,这样这个用户才能使用此vpn
切换到server证书目录下
cd /etc/openvpn/easy-rsa/
将得到的orangleliu.req导入然后签约证书
./easyrsa import-req /root/client/pki/reqs/orangleliu.req orangleliu
用户签约,根据提示输入服务端的ca密码
./easyrsa sign client orangleliu
/etc/openvpn/easy-rsa
[root@localhost easy-rsa]# cp pki/ca.crt /etc/openvpn/
[root@localhost easy-rsa]# cp pki/private/server.key /etc/openvpn/
[root@localhost easy-rsa]# cp pki/issued/server.crt /etc/openvpn/
[root@localhost easy-rsa]# cp pki/dh.pem /etc/openvpn/
[root@localhost easy-rsa]# cp /etc/openvpn/easy-rsa/ta.key /etc/openvpn/ #可以不需要ta.key
/root/client
[root@localhost client]# cp /etc/openvpn/easy-rsa/pki/ca.crt /root/client/ #客户端复制的是服务端生成的ca证书
[root@localhost client]# cp /etc/openvpn/easy-rsa/pki/issued/orangleliu.crt /root/client/
[root@localhost client]# cp /root/client/pki/private/orangleliu.key /root/client/
[root@localhost client]# cp /etc/openvpn/easy-rsa/ta.key /root/client/ #可以不需要ta.key
vim /etc/openvpn/server.conf
85行:改为 85 dh dh.pem
改tls-auth ta.key 0前加;注释
systemctl -f enable [email protected] 开机启动
systemctl start [email protected] 开启服务
iptables -A INPUT -p udp --destination-port 1194 -j ACCEPT 端口转发
把/root/client/下的ca.crt,client.crt,client.key,放在安装目录下的config目录里即可;
client.ovpn配置文件内容:
client
dev tun
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-CBC
verb 3
comp-lzo
补充一点这样客户端每次登陆会提示输入key的密码很烦人。key使用openssl剥离key的密码
openssl rsa -in client.key -out nopass-client.key
这样nopass-client.key复制到客户端就key免密码登陆了。