在RHEL5/CentOS5上配置使用Open×××
生活随笔
收集整理的這篇文章主要介紹了
在RHEL5/CentOS5上配置使用Open×××
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
這里介紹一個簡單的Open×××應(yīng)用的配置 需求: 1.每客戶端分配證書,不需要連接密碼 2.各客戶端之間能直接互通訪問 步驟:(以下全部root用戶操作) 1.安裝軟件倉庫(編譯安裝也行,但本文重點是配置)
? rpm --import http://download.fedora.redhat.com/pub/epel/RPM-GPG-KEY-EPEL
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm 2.安裝軟件 yum -y install lzo open*** 3.生成服務(wù)器證書 cd /usr/share/open***/easy-rsa/2.0
? vi vars?? #設(shè)置相關(guān)證書變量值(修改最后5個值: 國家/省/市/組織/電郵)
? source vars? #設(shè)置會話環(huán)境變量生效
? ./clean-all? #清理舊文檔
? ./build-ca? #創(chuàng)建CA證書
? ./build-dh? #創(chuàng)建相關(guān)加密文件
? ./build-key-server server #創(chuàng)建服務(wù)器證書
4.復(fù)制服務(wù)器證書和配置文件 cp keys/ca.crt ??/etc/open***
? cp keys/server.key ?/etc/open***
? cp keys/dh1024.pem ?/etc/open***
? cp keys/server.crt ?/etc/open*** cp /usr/share/doc/open***-2.1/sample-config-files/server.conf /etc/open***
5.修改配置文件 dev tap???? #使用tap驅(qū)動,注意要注釋掉dev tun一行 client-to-client? #允許客戶間互訪 user nobody?? #降權(quán)提高安全性 group nobody 6.配置啟動參數(shù) chkconfig open*** on service open*** start 7.生成客戶端證書(每個客戶端做一次) cd /usr/share/open***/easy-rsa/2.0 ./build-key client-name?????? #客戶名稱自定義 將生成client-name.crt clent-name.key等文件 8.安裝客戶端(以windows為例) 從http://open***.se/download.html下載open***+gui并安裝 9.部署客戶端證書 把第4和7步生成的以下3個文件COPY到C:\Program Files\Open×××\config ca.crt client-name.crt clent-name.key 10.配置客戶端參數(shù) a.復(fù)制C:\Program Files\Open×××\sample-config\client.o***到上面的config目錄 b.按說明修改以下參數(shù)值 dev tap(同時注釋dev tun行) dev-node MyTAP(在網(wǎng)絡(luò)屬性中查找TAP驅(qū)動的本地連接名,改名為MyTAP) remote server-ip_or_name 1194(服務(wù)器所在IP或域名,并使用1194端口) cert client-name.crt?? (上面生成的客戶端證書和key) key client-name.key c.通過open***-gui程序的tray菜單connect命令測試連接情況 11.配置客戶端自啟動服務(wù)等后續(xù)工作(可選) ==吊銷已分發(fā)的證書== 參考http://www.xiaohui.com/dev/server/20070904-revoke-open***-client.htm 簡述如下: 1. cd /usr/share/open***/easy-rsa/2.0 2. source vars 3.?./revoke-full clientname 4.?cp keys/crl.pem /etc/open*** 5. 確保/etc/open***/server.conf有此一行:crl-verify crl.pem 6. 重啟open***服務(wù). ps: keys/index.txt中,被吊銷的證書前標記為R
? rpm --import http://download.fedora.redhat.com/pub/epel/RPM-GPG-KEY-EPEL
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm 2.安裝軟件 yum -y install lzo open*** 3.生成服務(wù)器證書 cd /usr/share/open***/easy-rsa/2.0
? vi vars?? #設(shè)置相關(guān)證書變量值(修改最后5個值: 國家/省/市/組織/電郵)
? source vars? #設(shè)置會話環(huán)境變量生效
? ./clean-all? #清理舊文檔
? ./build-ca? #創(chuàng)建CA證書
? ./build-dh? #創(chuàng)建相關(guān)加密文件
? ./build-key-server server #創(chuàng)建服務(wù)器證書
4.復(fù)制服務(wù)器證書和配置文件 cp keys/ca.crt ??/etc/open***
? cp keys/server.key ?/etc/open***
? cp keys/dh1024.pem ?/etc/open***
? cp keys/server.crt ?/etc/open*** cp /usr/share/doc/open***-2.1/sample-config-files/server.conf /etc/open***
5.修改配置文件 dev tap???? #使用tap驅(qū)動,注意要注釋掉dev tun一行 client-to-client? #允許客戶間互訪 user nobody?? #降權(quán)提高安全性 group nobody 6.配置啟動參數(shù) chkconfig open*** on service open*** start 7.生成客戶端證書(每個客戶端做一次) cd /usr/share/open***/easy-rsa/2.0 ./build-key client-name?????? #客戶名稱自定義 將生成client-name.crt clent-name.key等文件 8.安裝客戶端(以windows為例) 從http://open***.se/download.html下載open***+gui并安裝 9.部署客戶端證書 把第4和7步生成的以下3個文件COPY到C:\Program Files\Open×××\config ca.crt client-name.crt clent-name.key 10.配置客戶端參數(shù) a.復(fù)制C:\Program Files\Open×××\sample-config\client.o***到上面的config目錄 b.按說明修改以下參數(shù)值 dev tap(同時注釋dev tun行) dev-node MyTAP(在網(wǎng)絡(luò)屬性中查找TAP驅(qū)動的本地連接名,改名為MyTAP) remote server-ip_or_name 1194(服務(wù)器所在IP或域名,并使用1194端口) cert client-name.crt?? (上面生成的客戶端證書和key) key client-name.key c.通過open***-gui程序的tray菜單connect命令測試連接情況 11.配置客戶端自啟動服務(wù)等后續(xù)工作(可選) ==吊銷已分發(fā)的證書== 參考http://www.xiaohui.com/dev/server/20070904-revoke-open***-client.htm 簡述如下: 1. cd /usr/share/open***/easy-rsa/2.0 2. source vars 3.?./revoke-full clientname 4.?cp keys/crl.pem /etc/open*** 5. 確保/etc/open***/server.conf有此一行:crl-verify crl.pem 6. 重啟open***服務(wù). ps: keys/index.txt中,被吊銷的證書前標記為R
轉(zhuǎn)載于:https://blog.51cto.com/salomi/252130
總結(jié)
以上是生活随笔為你收集整理的在RHEL5/CentOS5上配置使用Open×××的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: poj 2983 Is the Info
- 下一篇: Sybase数据库优化手册