OpenVPN SSL/TLS方式连接

本文主要是介绍OpenVPN SSL/TLS方式连接，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一. 前言

        本文介绍OpenVPN最后一种连接方式，通过SSL/TLS认证方式连接，也就是利用公钥密码那套：首先生成根证书秘钥、利用根证书秘钥创建根证书、生成服务器私钥，利用根证书签发服务器证书，生成Diffie-Hellman文件（用于密钥交换）、生成客户端私钥，利用根证书签发客户端证书。

        注意：OpenVPN的服务器和客户端都拥有自己的私钥和公钥，服务器和客户端是通过验证对方的证书来确定对方的合法性，所以，这里服务器的证书和客户端的证书都是由同一个根证书签发的。

        本文仍然以服务器和单个客户端的方式来介绍OpenVPN的SSL/TLS的连接方式。

二. 私钥和证书文件创建

        本文以openssl命令来创建所有的文件。建议新建一个文件路径，在这个目录中生成所有文件。

1. 创建根证书私钥文件

openssl genpkey -algorithm RSA -out ca.key -aes256

        该命令生成一个根证书的私钥文件，该私钥用aes256对称加密算法加密。

2. 利用私钥创建根证书

openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt

        该命令生成根证书文件ca.crt。证书利用sha256哈希处理，证书有效期为10年。

3. 创建服务器私钥文件

openssl genpkey -algorithm RSA -out server.key -aes256

        该命令会生成服务器的私钥文件，其中包含服务器的私钥

4. 创建服务器证书签名请求文件

openssl req -new -key server.key -out server.csr

        该命令用于生成服务器向根证书请求证书的请求文件，输完会有如下提示，按照要求填写即可：

# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:GuangZhou
Organization Name (eg, company) [Default Company Ltd]:xxxx
Organizational Unit Name (eg, section) []:xxxx
Common Name (eg, your name or your server's hostname) []:xxxx
Email Address []:xxxxPlease enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

5. 利用根证书签发服务器证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256

        该命令利用证书签名请求文件，使用根证书签发服务器证书。输完命令会提示输入密码，密码就是创建根证书使用的私钥。

6. 生成 Diffie-Hellman 参数文件

openssl dhparam -out dh.pem 2048

        该命令用于生成密钥交换文件。用于秘钥协商阶段。

7. 创建客户端私钥文件

openssl genpkey -algorithm RSA -out client.key -aes256

8. 创建客户端证书签名请求文件

openssl req -new -key client.key -out client.csr

9. 利用根证书签发客户端证书

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650 -sha256

        步骤7-9同服务器一样，这里就不多赘述。

10. 证书验证

openssl verify -CAfile ca.crt server.crt

openssl verify -CAfile ca.crt client.crt

        以上命令用于验证证书链是否完整，确保生成的证书无误，如果中间还有别的中间证书，可以通过-untrusted xxx.crt加入中间证书。

至此，我们得到了如下文件：

ca.crt：根证书

server.key：服务器私钥

server.crt：服务器证书

dh.pem：秘钥交换文件

client.key：客户端私钥

client.crt：客户端证书

        将ca.crt，server.key，server.crt和dh.pem拷贝到服务器的配置文件路径，将ca.crt，client.key和client.crt拷贝到客户端的配置文件路径。至此，用于SSL/TLS的证书完成。

三. 服务器

1. 配置文件

dev tun
ifconfig 10.8.0.1 10.8.0.2
tls-serverca ca.crt
cert server.crt
key server.key
dh dh.pemstatus openvpn-status.log
log /var/log/openvpn.log

这里新增加了tls-server，ca，cert，key和dh选项，各个选项含义如下：

tls-server：开启TLS，并且角色为TLS服务器端。

ca：指定ca根证书

cert：指定服务器证书

key：指定服务器私钥

dh：指定秘钥交换文件

2. 启动命令

openvpn --cd /etc/openvpn --config server.conf

四. 客户端

1. 配置文件

dev tun
proto udp
tls-clientremote 192.168.5.100 1194
ifconfig 10.8.0.2 10.8.0.1
verb 3ca ca.crt
cert client.crt
key client.keystatus openvpn-status.log  
log openvpn.log

        选项在前面都介绍过，此处不在赘述。

2.启动命令

openvpn --cd /etc/openvpn --config client.conf

五. 总结

        本文介绍了OpenVPN SSL/TLS的连接方式，从证书的生成到配置文件的配置，本文介绍的仍然是最简单的单客户端和服务器的模式。SSL/TLS方式的底层技术是RSA公钥密码，所以非常安全，相比于静态秘钥的方式，该方式适用于多客户端的模式。

这篇关于OpenVPN SSL/TLS方式连接的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---