[ルート@ myzdl〜]#yumを開いてインストール***簡単-RSA LZO LZO-のdevelのopensslのopenssl-develの-y // インストールサービス
[ルート@ myzdl〜]#のLSは/ etc /オープン*** / //オープン* **インストールディレクトリサービス
クライアント・サーバ・
ディレクトリ[ルート@のmyzdl〜]#のLSを/ usr / share /簡単-RSA / //簡単-RSA のインストール
3 3.0 3.0.3
[ルート@ myzdl〜]#のLSは/ usr / sbinに/オープン*** //起動スクリプトのディレクトリサービス
は/ usr / sbinに/オープン***
:サーバ証明書とCAルート証明書の作成
検索/ -name「vars.example」タイプF //知っている証明書テンプレートのパラメータは、[ルート@ myzdl〜]#を
/usr/share/doc/easy-rsa-3.0.3/vars。例
[ルート@をmyzdl〜]#のCDの/usr/share/easy-rsa/3.0.3/
[@ルートmyzdl 3.0.3] CP#/usr/share/doc/easy-rsa-3.0.3/vars.example VARS //証明書を生成するためにいくつかのデフォルトパラメータが内部に設けられている
[ルート@ myzdl 3.0.3]#viの VARS //が示すように、デフォルトのパラメータを変更し
、ここで後者は、クライアント構成「NS-CERT型サーバ」パラメータで設定されている場合、私たちは、証明書を作成するために、yesに次のパラメータを設定する必要があり
、「いいえ」EASYRSA_NS_SUPPORT #set_varを
[ルート@のmyzdl 3.0.3]#./easyrsaのinit-PKI // 新しいpkiフォルダ構造を生成する
[ルート@のmyzdl 3.0.3]#は./easyrsa構築-CAをNOPASS // ルートCA証明書を作成し、パスワードは、必要ありません入力します。(ca.crt)で得られた
[ルート@ myzdl 3.0.3]のGen-REQ番号の./easyrsa ***サーバーNOPASS //は、鍵ペアと証明書要求ファイルのパスワードを生成するには、輸送を必要とされていません。(*** server.req、*** server.keyの取得)
#は、ルート証明書CAとサーバーサーバー// *** *** server.req署名ファイルに署名./easyrsa [ルート@ myzdl 3.0.3]サーバー証明書を生成します。(取得をserver.crt ***)
[ルート@ myzdl 3.0.3]#//作成./easyrsaのGen-DHのDiffie Hellmanパラメータ
[ルート@ myzdl簡単-RSA] #のcp -R 3.0.3 / /ルート/デスクトップ//は、デスクトップに3.0.3 /ディレクトリにコピーし、そのために使用されます。
创建客户端证书:
[root@myzdl 3.0.3]# rm -rf pki/ //需要删除旧的pki,重新创建
[root@myzdl 3.0.3]# ./easyrsa init-pki
[root@myzdl 3.0.3]# ./easyrsa gen-req client nopass //生成密钥对和证书请求文件,不需要密码,回车。(得到client.req、client.key)
刚才我们是用根证书CA签名生成服务器证书***server.crt,现在以CA根证书和***server.crt证书签名得到client.crt
[root@myzdl 3.0.3]# cp pki/reqs/client.req /root/Desktop/3.0.3/pki/reqs/
[root@myzdl 3.0.3]# cp pki/private/client.key /root/Desktop/3.0.3/pki/private/
[root@myzdl 3.0.3]# cd /root/Desktop/3.0.3/
[root@myzdl 3.0.3]# ./easyrsa sign client client //成功生成证书client.crt
完成以上步骤服务器端需要的文件有:ca.crt 、dh.pem 、***server.crt 、***server.key
客户端需要的文件有:ca.crt 、client.key 、client.crt
_
以证书方式认证:
[root@myzdl 3.0.3]# pwd
/root/Desktop/3.0.3
[root@myzdl 3.0.3]# cp pki/{ca.crt,dh.pem} /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/private/***server.key /etc/open***/server/
[root@myzdl 3.0.3]# cp pki/issued/***server.crt /etc/open***/server/
[root@myzdl 3.0.3]# find / -name "server.conf" -type f //查找配置文件所在位置
/usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf
/usr/share/doc/NetworkManager/examples/server.conf
[root@myzdl 3.0.3]# cp /usr/share/doc/open***-2.4.5/sample/sample-config-files/server.conf /etc/open***/server/ //复制配置文件到这里来
[root@myzdl 3.0.3]# cd /etc/open***/server/
root@myzdl server]# vi server.conf //编辑配置文件
#猫のserver.conf [myzdlサーバー@ルート] | grepの-v ^#| grepの-v ^ $ |はgrep -v ^ ";" 
[myzdlサーバー@ルート]#は/ usr / sbinに/オープン*** --config ./server.conf --daemon //サービスを開始
[ルートmyzdlサーバー@]#netstatの-anulp | grepを1194 
[ルートmyzdlサーバー@]#ファイアウォール-CMD --add-サービス= =オープン*** --zone公衆--permanent
#ファイアウォールファイアウォール-cmdが--reload // ***データポートを介して置く[myzdlサーバー@ルート]
クライアントを設定するには、クライアントファイルがクライアント(ca.crtに取得する方法を見つけるために、上記の、 client.key、client.crt)。
インストール手順:
