CentOS 6.5下OpenVPN的搭建

一、openvpn原理

二、安装openvpn

三、制作相关证书

3.1 制作CA证书

3.2 制作Server端证书

3.3 制作Client端证书

四、配置Server端

五、配置Client端

一、openvpn原理

openvpn通过使用公开密钥（非对称密钥，加密解密使用不同的key，一个称为Publice key，另外一个是Private key）对数据进行加密的。这种方式称为TLS加密

openvpn使用TLS加密的工作过程是，首先VPN Sevrver端和VPN Client端要有相同的CA证书，双方通过交换证书验证双方的合法性，用于决定是否建立VPN连接。

然后使用对方的CA证书，把自己目前使用的数据加密方法加密后发送给对方，由于使用的是对方CA证书加密，所以只有对方CA证书对应的Private key才能解密该数据，这样就保证了此密钥的安全性，并且此密钥是定期改变的，对于窃听者来说，可能还没有破解出此密钥，VPN通信双方可能就已经更换密钥了。

二、安装openvpn

yum方式安装，此处统一使用aliyun中centos和epel源

# rm /etc/yum.repos.d/* -fr

# vim /etc/yum.repos.d/ali.repo

[centos6]

name=centeros6 base

baseurl=http://mirrors.aliyun.com/centos/6/os/x86_64/

gpgcheck=0

[epel]

name=epel base

baseurl=http://mirrors.aliyun.com/epel/6/x86_64

gpgcheck=0

为避免出现错误，关闭selinux

# setenforce 0;sed -i 's/SELINUX=.*/SELINUX=permissive/' /etc/selinux/config

我们可以使用如下命令：

# yum install -y openvpn openssl pkcs11-helper

openvpn安装完毕后，我们来查看openvpn的版本，如下：

# openvpn –version

openvpn安装完毕后，我们再来安装easy-rsa。

easy-rsa是用来制作openvpn相关证书的。

安装easy-rsa，使用如下命令：

[root@localhost keys]# yum install -y easy-rsa

查看easy-rsa安装的文件，如下：

[root@localhost keys]# rpm -ql easy-rsa

通过上图，我们可以很明显的看到easy-rsa已经安装到/usr/share/easy-rsa/目录下。

三、制作相关证书

根据第一章节openvpn的工作原理，我们可以知道openvpn的证书分为三部分：CA证书、Server端证书、Client端证书。

下面我们通过easy-rsa分别对其进行制作。

3.1 制作CA证书

openvpn与easy-rsa安装完毕后，我们需要在/etc/openvpn/目录下创建easy-rsa文件夹，如下：

[root@localhost keys]# mkdir /etc/openvpn/easy-rsa/

然后把/usr/share/easy-rsa/目录下的所有文件全部复制到/etc/openvpn/easy-rsa/下，如下：

[root@localhost keys]# cp -r /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

[root@localhost keys]# ll /etc/openvpn/easy-rsa/

当然，我们也可以直接在/usr/share/easy-rsa/制作相关的证书，但是为了后续的管理证书的方便，我们还是把easy-rsa放在了openvpn的启动目录下。

在开始制作CA证书之前，我们还需要编辑vars文件，修改如下相关选项内容即可。如下：

[root@localhost keys]# vim /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY=”CN”

export KEY_PROVINCE=”BJ”

export KEY_CITY=”Chaoyang”

export KEY_ORG=”TEST”

export KEY_EMAIL=”TEST@TEST.com”

export KEY_OU=”TEST”

export KEY_NAME=”TEST”

vars文件主要用于设置证书的相关组织信息，红色部分的内容可以根据自己的实际情况自行修改。

然后使用source vars命令使其生效，如下：

[root@localhost easy-rsa]# source vars.

[root@localhost easy-rsa]# ./clean-all

注意：执行clean-all命令会删除，当前目录下keys文件夹里证书等文件。

现在开始正式制作CA证书，使用如下命令：

[root@localhost easy-rsa]# ./build-ca

一路按回车键即可。制作完成后，我们可以查看keys目录。如下：

[root@localhost easy-rsa]# ll keys/

通过上图，我们可以很明显的看到已经生成了ca.crt和ca.key两个文件，其中ca.crt就是我们所说的CA证书。如此，CA证书制作完毕。

现在把该CA证书的ca.crt文件复制到openvpn的启动目录/etc/openvpn下，如下：

[root@localhost easy-rsa]# cp keys/ca.crt /etc/openvpn

[root@localhost easy-rsa]# ll /etc/openvpn/

3.2 制作Server端证书

CA证书制作完成后，我们现在开始制作Server端证书。如下：

[root@localhost easy-rsa]# ./build-key-server vpnserver

查看生成的Server端证书，如下：

[root@localhost easy-rsa]# ll keys/

通过上图，可以看到已经生成了vpnserver.crt、vpnserver.key和vpnserver.csr三个文件。其中vpnserver.crt和vpnserver.key两个文件是我们要使用的。

现在再为服务器生成加密交换时的Diffie-Hellman文件，如下：

[root@localhost easy-rsa]# ./build-dh

查看生成的文件，如下：

[root@localhost easy-rsa]# ll keys/

通过上图，我们可以很明显的看出已经生成了dh2048.pem，这个文件。

以上操作完毕后，把vpnserver.crt、vpnserver.key、dh2048.pem复制到/etc/openvpn/目录下，如下：

[root@localhost easy-rsa]# cp keys/vpnserver.crt keys/vpnserver.key keys/dh2048.pem /etc/openvpn/

[root@localhost easy-rsa]# ll /etc/openvpn/

至此，Server端证书就制作完毕。

3.3 制作Client端证书

Server端证书制作完成后，我们现在开始制作Client端证书，如下：

[root@localhost easy-rsa]# ./build-key user1

注意：上述命令中的user1，是客户端的名称。这个是可以进行自定义的。

如果你想快速生成用户证书不需要手工交互的话，可以使用如下命令：

[root@localhost easy-rsa]# ./build-key –batch user2

查看生成的证书，如下：

[root@localhost easy-rsa]# ll keys/

通过上图，我们可以很明显的看出已经生成了user1.csr、user1.crt和user1.key这个三个文件。user1.crt和user1.key两个文件是我们要使用的。

如此，Client端证书就制作完毕。

四、配置Server端

所有证书制作完毕后，我们现在开始配置Server端。Server端的配置文件，我们可以从openvpn自带的模版中进行复制。如下：

[root@localhost easy-rsa]# cp /usr/share/doc/openvpn-2.3.10/sample/sample-config-files/server.conf /etc/openvpn/server.conf.bak

[root@localhost easy-rsa]# cd /etc/openvpn/

现在我们通过修改server.conf.bak文件来生成server.conf文件，如下：

[root@localhost openvpn]# grep -vE "^#|^;|^$" server.conf.bak > server.conf

[root@localhost openvpn]# vim server.conf

port 1194

proto tcp

dev tun

ca ca.crt

cert vpnserver.crt

key vpnserver.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

persist-key

persist-tun

status openvpn-status.log

verb 3

与原模版文件相比，在此我修改几个地方。

第一、修改了openvpn运行时使用的协议，由原来的UDP协议修改为TCP协议。生成环境建议使用TCP协议。

第二、修改了openvpn服务器的相关证书，由原来的server.csr、server.key修改为vpnserver.crt、vpnserver.key。

注意：上述server.conf文件中vpnserver.crt、vpnserver.key、dh2048.pem要与/etc/openvpn/目录下的相关文件一一对应。

同时，如果上述文件如果没有存放在/etc/openvpn/目录下，在server.conf文件中，我们要填写该文件的绝对路径。如下所示：

配置文件修改完毕后，我们现在来启动openvpn，使用如下命令：

[root@localhost openvpn]# service openvpn start

[root@localhost openvpn]# ss -tnlp |grep 1194

通过上图，我们可以的看出openvpn已经在此启动，使用的TCP协议的1194端口。

五、配置Client端

Server端配置并启动后，我们现在来配置Client端。我们主要在Windows OS上。下载安装“openvpn-2.1.1-gui-1.0.3-install-cn-64bit”，地址为: https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/vpntech/openvpn-2.1.1-gui-1.0.3-install-cn-64bit.zip

5.1 在Windows OS上

无论是在Windows OS还是在Linux OS上Client端的配置，我们都需要把Client证书、CA证书以及Client配置文件下载下来。

先来下载Client证书和CA证书，Client证书我们主要使用crt和key结尾的两个文件，而CA证书我们主要使用crt结尾的文件。如下：