一、服务器程序安装:

1、安装依赖程序:

[root@dba~]# yum install epel-release    #Open×××软件包不在CentOS标准Yum源里,所以需要安装先通过yum安装epel源才能正常安装相关软件包!
[root@dba~]# yum -y install lzo lzo-devel openssl openssl-devel gcc gcc-c++    #部署基础环境安装

2、open***服务器端程序安装:

[root@dba ~]# yum install open*** -y
[root@dba ~]# rpm -qa | grep"open***"
open***-2.4.3-1.el7.x86_64

安装完成涉及目录如下:
[root@dba ~]# whereis open***    #查看Open×××安装成功后的相关路径
open***: /usr/sbin/open*** /usr/lib64/open*** /etc/open*** /usr/share/man/man8/open***.8.gz
/usr/sbin/open***:Open×××二进制程序文件
/etc/open***:Open×××配置文件存储路径
[root@dba ~]# yum -y install easy-rsa    #包含生存Open×××认证所需的证书、密钥等程序文件

二、配置生成open***运行所需证书文件:

Open×××服务器与客户端双方基于PKI(公钥基础设施)验证双方身份并进行认证,所以开始配置时首先要建立认证所需的证书以及密钥。

1、证书、密钥生成流程(推荐):http://www.softown.cn/post/146.html

[root@dba ~]# mkdir -p/etc/open***/easy-rsa/keys
[root@dba~]# cp -rf /usr/share/easy-rsa/2.0/* /etc/open***/easy-rsa/
[root@dba easy-rsa]# ll
total 116
-rwxr-xr-x 1 root root   119 Aug 22 03:08 build-ca  #创建CA证书和密钥,对应文件为ca.crt,ca.key
-rwxr-xr-x 1 root root   352 Aug 22 03:08 build-dh  #创建迪菲·赫尔曼密钥,会生成dh2048.pem文件
-rwxr-xr-x 1 root root   188 Aug 22 03:08 build-inter
-rwxr-xr-x 1 root root   163 Aug 22 03:08 build-key  #用于创建客户端证书及私钥
-rwxr-xr-x 1 root root   157 Aug 22 03:08 build-key-pass    #用于创建经过密码加密的私钥
-rwxr-xr-x 1 root root   249 Aug 22 03:08 build-key-pkcs12
-rwxr-xr-x 1 root root   268 Aug 22 03:08 build-key-server  #用于创建服务器端证书及私钥
-rwxr-xr-x 1 root root   213 Aug 22 03:08 build-req
-rwxr-xr-x 1 root root   158 Aug 22 03:08 build-req-pass
-rwxr-xr-x 1 root root   449 Aug 22 03:08 clean-all  #用于清空服务器端已经生成端证书及密钥,慎用!
-rwxr-xr-x 1 root root  1471 Aug 22 03:08 inherit-inter
drwx------ 2 root root  4096 Aug 22 03:22 keys
-rwxr-xr-x 1 root root   302 Aug 22 03:08 list-crl
-rw-r--r-- 1 root root  7791 Aug 22 03:08 openssl-0.9.6.cnf
-rw-r--r-- 1 root root  8348 Aug 22 03:08 openssl-0.9.8.cnf
-rw-r--r-- 1 root root  8245 Aug 22 03:08 openssl-1.0.0.cnf
-rwxr-xr-x 1 root root 12966 Aug 22 03:08 pkitool
-rwxr-xr-x 1 root root   928 Aug 22 03:08 revoke-full
-rwxr-xr-x 1 root root   178 Aug 22 03:08 sign-req
-rw-r--r-- 1 root root  2057 Aug 22 03:11 vars  #用于存储服务器/客户端生成证书、密钥过程中需要的参数信息
-rwxr-xr-x 1 root root   740 Aug 22 03:08 whichopensslcnf

1.1 修改vars文件,配置生成证书所需的信息(可以安自己需求修改,或保持默认):

[root@dba ~]# vi/etc/open***/easy-rsa/vars 
# These are the default values forfields
# which will be placed in thecertificate.
# Don't leave any of these fieldsblank.
export KEY_COUNTRY="CN"
exportKEY_PROVINCE="BeiJing"
export KEY_CITY="BeiJing"
export KEY_ORG="YunWei"
exportKEY_EMAIL="yunwei@163.com"
exportKEY_OU="YunWeiUnit"

1.2 开始生成ca证书、密钥;服务器端证书、密钥;客户端证书、密钥(注:生成证书之前,请保证服务器端时区、时间等信息正确!);

[root@dba open***]# cd /etc/open***/easy-rsa/
[root@dba easy-rsa]# source vars  #让上面修改端的vars参数文件生效,之后生成证书时就可以调用到了
NOTE: If you run ./clean-all, Iwill be doing a rm -rf on /etc/open***/easy-rsa/keys
[root@dba easy-rsa]# ./clean-all   
[root@dba easy-rsa]# ./build-ca  # 1、生成CA证书及密钥,可以一直回车,默认用的vars中的参数进行配置,但是Common Name请保证每台主机唯一。
Common Name (eg, your name or yourserver's hostname) [YunWei CA]:    ##注意:生成服务器客户端证书时,请保证各证书该名不一致!!!

[root@dba easy-rsa]# ll keys/
-rw-r--r-- 1 root root 1712 Aug 22 03:15 ca.crt    #生成的CA证书
-rw------- 1 root root 1704 Aug 22 03:15 ca.key    #生成的CA密钥

1.3 生成服务器端证书及对应端密钥:

[root@dba easy-rsa]# ./build-key-server server
[root@dba easy-rsa]# ll keys/
-rw-r--r-- 1 root root 5457 Aug 22 03:16 server.crt    #生成的服务器端证书
-rw-r--r-- 1 root root 1074 Aug 22 03:16 server.csr
-rw------- 1 root root 1704 Aug 22 03:16 server.key    #生成的服务器端密钥

1.4 生成客户端用户对应的证书及密钥:

[root@dbaeasy-rsa]# ./build-key client
-rw-r--r-- 1 root root 5339 Aug 22 03:17 client.crt    #生成的客户端证书
-rw-r--r-- 1 root root 1074 Aug 22 03:17 client.csr
-rw------- 1 root root 1708 Aug 22 03:17 client.key    #生成的客户端密钥

1.5 生成迪菲·赫尔曼参数(必须生成):


[root@localhost easy-rsa]# ./build-dh
[root@localhost easy-rsa]# ll keys/dh2048.pem 
-rw-r--r--. 1 root root 424 8月  23 18:13 keys/dh2048.pem


1.6 生成ta.key,用于预防Dos***:

[root@dba easy-rsa]# open***--genkey --secret /etc/open***/easy-rsa/keys/ta.key
-rw------- 1 root root  636 Aug 22 03:22 ta.key

2、服务器/客户端配置文件构建:

示例配置文件路径如下,可以在此基础上做修改:

[root@dba ~]# ll /usr/share/doc/open***-2.4.3/sample/sample-config-files/client.conf /usr/share/doc/open***-2.4.3/sample/sample-config-files/server.conf
-rw-r--r-- 1 root root  3584 Jun 20 08:48 /usr/share/doc/open***-2.4.3/sample/sample-config-files/client.conf
-rw-r--r-- 1 root root 10782 Jun 20 08:48 /usr/share/doc/open***-2.4.3/sample/sample-config-files/server.conf

2.1 服务器端:

复制open***配置文件模版到配置文件目录:
[root@dba ~]# cp /usr/share/doc/open***-2.4.3/sample/sample-config-files/server.conf /etc/open***/
[root@dba ~]# cp /usr/share/doc/open***-2.4.3/sample/sample-config-files/client.conf /etc/open***/client

复制服务器端和客户端对应的证书和密钥文件到各自的目录:
[root@dba ~]# cd /etc/open***/easy-rsa/keys
[root@dba ~]# cp ca.crt server.crt server.key dh2048.pem ta.key ../../server
[root@dba ~]# cp ca.crt client.crt client.key ta.key ../../client

根据具体情况修改配置文件:
[root@dba ~]# vi server.conf 
local 0.0.0.0    #open***服务监听地址,默认为本地
port 1194        #监听端口
proto udp        #使用的协议,默认tcp,proxy模式下必须用tcp
dev tun          #申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议;tun是ip层的点对点协议,限制稍微多一些
ca   /etc/open***/server/ca.crt        #用于验证客户的证书是否合法
cert /etc/open***/server/server.crt    #Server使用的证书文件
key  /etc/open***/server/server.key    #Server使用的Key文件,注意本文件权限配置,防止泄漏
dh   /etc/open***/server/dh2048.pem
server 10.8.0.0 255.255.255.0          #配置×××服务使用的地址池,不能与实际的局域网冲突
ifconfig-pool-persist ipp.txt          #用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,防止open***重新启动后“忘记”Client曾经使用过的IP地址
push "route 10.8.0.0 255.255.255.0"    #配置客户端网络内网段需要访问服务器所在局域网的网络的路由
push "route 192.168.20.0 255.255.255.0"
;push "redirect-gateway def1 bypass-dhcp"    #开启之后,客户端所有流量都走Open×××
push "dhcp-option DNS 180.76.76.76"          #推送给客户端的DNS地址
push "dhcp-option DNS 114.114.114.114"
keepalive 10 120    #连通性检测机制,10s进行ping检测一次,120s不通认证连接丢失,自动重启×××并进行连接
tls-auth /etc/open***/server/ta.key 0 # 用于防止Dos***
cipher AES-256-CBC
comp-lzo    #对数据进行压缩,注意Server和Client一致
max-clients 100    #允许连接Open×××的最大客户端数量
user nobody        #运行Open×××的用户和组
group nobody
persist-key
persist-tun
status      /etc/open***/server/log/open***-status.log
log         /etc/open***/server/log/open***.log
log-append  /etc/open***/server/log/open***.log
verb 3    #相当于debug level,改成verb 5可以多查看一些调试信息

#服务器端启用用户名/密码认证的配置
client-cert-not-required
plugin /lib64/security/open***-auth-pam.so open***_mysql
username-as-common-name
auth-nocache


2.2 客户端:

2.2.1 默认值配置文件(5个文件):

[root@dba client]# more client.conf
client
dev tun
proto udp
remote my-server-1 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt    #单独以一个文件存在
cert client.crt    #单独以一个文件存在,用户名/密码认证时需要注释该行!
key client.key    #单独以一个文件存在,用户名/密码认证时需要注释该行!
remote-cert-tls server
tls-auth ta.key 1    #ta.key用于预防Dos***
cipher AES-256-CBC
verb 3

#客户端启用用户名/密码认证的配置
auth-user-pass

上面默认的客户端配置文件,管理起来很不方便,为便于客户端用户使用可以整合成一个文件来进行配置!

2.2.2 整合后的配置文件(1个文件):

模版(Mac,Windos系统整合后的客户端配置文件的后缀名为o***):

[root@dba client]# more client.o*** 
client
dev tun
proto udp
remote my-server-ip 1194    #my-server-ip替换为open***服务器对应到域名或IP地址。
resolv-retry infinite
nobind
persist-key
persist-tun

<ca>
ca ca.crt        #本行以ca.crt文件内容替换
</ca>

<cert>
cert client.crt    #本行以client.crt文件内容替换
</cert>

<key>
key client.key    #本行以client.key文件内容替换
</key>

<tls-auth>
tls-auth ta.key 1    #本行以ta.key文件内容替换
</tls-auth>
key-direction 1   #需要增加本行,指定上面参数1对应的配置     

remote-cert-tls server
cipher AES-256-CBC
verb 3
comp-lzo

3、使用MySQL-PAM模块进行用户认证:

3.1 安装配置MySQL数据库:

[root@localhost open***]# yum -y install mariadb mariadb-libs mariadb-server mariadb-devel mariadb-test
[root@localhost open***]# rpm -qa | grep -i mariadb
mariadb-5.5.52-1.el7.x86_64
mariadb-libs-5.5.52-1.el7.x86_64
mariadb-server-5.5.52-1.el7.x86_64
mariadb-test-5.5.52-1.el7.x86_64
mariadb-devel-5.5.52-1.el7.x86_64

[root@localhost open***]# mysql_secure_installation    #安装完成之后,执行mysql_secure_installation进行数据库初始化设定root账号密码

[root@localhost open***]# systemctl start mariadb.service    #启动mariadb(CentOS 7.x)数据库
[root@localhost ~]# mysql -u root -p123456
MariaDB [(none)]>create user open*** identified by '123456';
MariaDB [(none)]>create database open***;
MariaDB [(none)]>use open***;
MariaDB [(none)]>create table users (
               -> id int AUTO_INCREMENT NOT NULL,
               -> name char(16) binary NOT NULL,
               -> passwd char(48) binary NOT NULL,
               -> primary key(id)
               -> );
MariaDB [open***]> INSERT INTOuser(name, passwd) VALUES('test', ENCRYPT('123456'));
MariaDB [open***]> grant all on open***.* to 'open***'@'%' identified by '123456';
MariaDB [open***]> flush privileges;

[root@localhost ~]# mysql -u open*** -p123456
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 29
Server version: 5.5.52-MariaDB MariaDB Server

3.2 安装pam_mysql插件:

Google搜索下载tar包:pam_mysql-0.7RC1.tar.g
[root@localhost ~]# tar -zxf pam_mysql-0.7RC1.tar.gz
[root@localhost ~]# cd pam_mysql-0.7RC1
[root@localhost pam_mysql-0.7RC1]# ./configure --with-mysql=/usr --with-openssl=/usr --with-pam-mods-dir=/lib64/security
[root@localhost pam_mysql-0.7RC1]# make && make install

确认/lib64/security目录下是否生成pam_mysql.so文件:
[root@localhost pam_mysql-0.7RC1]# ll /lib64/security/pam_mysql.so 
-rwxr-xr-x. 1 root root 141680 Aug 24 10:25 /lib64/security/pam_mysql.so

3.3 安装pam_mysql插件:

Google搜索下载tar包:open***-2.0.9.tar.gz
[root@localhost auth-pam]# tar -zxvf open***-2.0.9.tar.gz
[root@localhost ~]# cd open***-2.0.9/plugin/auth-pam/
[root@localhost auth-pam]# make
[root@localhost auth-pam]# ll open***-auth-pam.so 
-rwxr-xr-x. 1 root root 22712 Aug 24 12:32 open***-auth-pam.so
[root@localhost auth-pam]# cp open***-auth-pam.so /lib64/security/

3.4 修改配置文件:

在/etc/pam.d下新建pam认证文件:open***_mysql


[root@localhost auth-pam]# cd /etc/pam.d/
[root@localhost pam.d]# more open***_mysql 
auth	sufficient /lib64/security/pam_mysql.so user=open*** passwd=123456 host=localhost db=open*** table=user usercolumn=name passwdcolumn
=passwd sqllog=0 crypt=1 
account	sufficient /lib64/security/pam_mysql.so user=open*** passwd=123456 host=localhost db=open*** table=user usercolumn=name passwdcolumn
=passwd sqllog=0 crypt=1

open***服务器端配置文件,在最后面添加下面四行:


[root@localhost open***]# vi server.conf
client-cert-not-required
plugin /lib64/security/open***-auth-pam.so open***_mysql
username-as-common-name
auth-nocache


open***客户端配置文件,在最后面添加下面四行:


[root@localhost open***]# vi client.o***
cert client.crt    #注释该行或证书文件内容替换的该行!
key  client.key    #注释该行或证书文件内容替换的该行!

#客户端启用用户名/密码认证的配置
auth-user-pass     #添加该行!

3.5 修改open***服务器路由相关配置:

开启路由转发功能
# echo 1 > /proc/sys/net/ipv4/ip_forward
或者
# sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
# sysctl -p
配置防火墙,别忘记保存
# iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT   # 开启虚拟网段
# iptables -A INPUT -s 10.8.0.0/24 -m state --state NEW -m tcp -p tcp -j ACCEPT # 
# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT # 
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 10.2.8.0/24 -o eho0 -j SNAT --to-source 10.2.8.10 # 将虚拟网段10.8.0.0/24访问内网10.2.8.0/24都通过内网网卡eth0并且将源地址转换成10.2.8.10转发
# service iptables save
# service iptables restart # 重启

3.6 重启open***服务器端程序,客户端重新加载配置文件进行测试。。。Ok啦


4、配置启动服务器,客户端程序并进行测试:

CentOS 6.x启动方式:

[root@dba ~]# /etc/init.d/open*** start(restart,stop)

CentOS 7.x启动方式:

[root@dba ~]# systemctl restart open***@server
[root@dba ~]# ss -lnup
State      Recv-Q Send-Q                   Local Address:Port                                  Peer Address:Port              
Cannot open netlink socket: Protocol not supported
UNCONN     0      0                                    *:1194                                             *:*                   users:(("open***",pid=15933,fd=6))

三、安装配置过程问题解决:

1、问题报错:VERIFY ERROR: depth=1, error=certificate is not yet valid or error 9 at 1 depth lookup:certificate is not yet valid

解决方法:更新服务器系统时间到最新,重新生成服务器和客户端所有证书以及配置文件即可。因为centos7默认安装(没有桌面)的情况下timezone没设置对并且时间没有校对,导致服务器时间还没到证书的签名时间,所以需要从新设置一下timezone并校对时间。


https://blog.51cto.com/msgll/1958464