proxy代理   soft软件   IT 业界特快   norton 诺顿病毒库   代理列表   search FTP搜索   whois IP地理位置   blog 追求完美  
money理财   life生活   RSS聚合门户   firefox WEB浏览器   免费域名   typeset 假古文   AntiVirus 反病毒   ipcn 站点导航  

« esi - Edge Side Includes 一种主要用于电子商务动态数据加速的解决方案 | Main | RSS 2.0 Specification »

March 10, 2005

openvpn 的 ca 证书认证解决 static key 不支持多用户的问题

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
https://windtear.net/archives/2005/03/10/000596.html http://windtear.net/archives/2005/03/10/000596.html

1. static key
1.1
static key 认证很方便 快捷
但是有一些弊端 比如不支持对用户等
http://openvpn.net/static.html

Static Key advantages

  • Simple Setup
  • No X509 PKI (Public Key Infrastructure) to maintain

Static Key disadvantages

  • Limited scalability -- one client, one server
  • Lack of perfect forward secrecy -- key compromise results in total disclosure of previous sessions
  • Secret key must exist in plaintext form on each VPN peer
  • Secret key must be exchanged using a pre-existing secure channel
1.2
openvpn --genkey --secret static.key

Server configuration file

dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key

Client configuration file

remote myremote.mydomain
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key

2. CA 证书认证
2.1
CA 证书认证不单解决了多用户的支持问题 还带来更高的安全性
这也是 openvpn 从 1.x 到 2.x 版本的主要变化之一
http://openvpn.net/howto.html#pki

首先要生成一个 ca
然后再创建服务器端 客户端key

玩过 apache ca 证书之类的同学应该知道 openssl
没玩过 不知道也没关系
openvpn 的 easy-rsa 目录提供了做好的脚本接口
只要一步一步走就行了

默认的openssl.cnf指定证书有效期为10年
方便起见 最好先改一下 vars 文件  到时直接回车就行了

. ./vars
./clean-all
./build-ca

./build-key-server server

./build-key client1
./build-key client2
./build-key client3

./build-dh

Filename Needed By Purpose Secret
ca.crt server + all clients Root CA certificate NO
ca.key key signing machine only Root CA key YES
dh{n}.pem server only Diffie Hellman parameters NO
server.crt server only Server Certificate NO
server.key server only Server Key YES
client1.crt client1 only Client1 Certificate NO
client1.key client1 only Client1 Key YES
client2.crt client2 only Client2 Certificate NO
client2.key client2 only Client2 Key YES
client3.crt client3 only Client3 Certificate NO
client3.key client3 only Client3 Key YES

2.2 配置方面
2.2.1 服务器端:
相比 static key 模式
+mode server
+tls-server
原来的 ifconfig 10.1.1.1 255.255.255.0 要改成
+server 10.1.1.0 255.255.255.0

ca 认证的关键几个文件设置一定要有
+ca ca.crt
+cert server.crt
+key server.key  # This file should be kept secret
+dh dh1024.pem

保留 ip 表
+ifconfig-pool-persist ipp.txt
+#;push "route 192.168.10.0 255.255.255.0"
通过 ccd 的 common name 可以给定特定的ip 路由等
+client-config-dir /etc/openvpn/ccd
+keepalive 10 120
+max-clients 5
+persist-key
+persist-tun
+status openvpn-status.log
+log         openvpn.log
+log-append  openvpn.log
允许客户端之间可见
+client-to-client

2.2.2 客户端:
说明是客户端 防止中间人攻击
client
tls-client
ns-cert-type server

指定认证证书
ca ca.crt
key windtear.key
cert windtear.crt

nobind
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
log-append  openvpn.log
route 0.0.0.0 0.0.0.0 10.1.1.1

3. 相关文章
2005-01-27 12:01 我爱网络 openvpn 2.0rc6 to service @windows
2005-01-25 18:23 我爱网络 openvpn TAP driver deal method
2004-02-03 23:49 我爱网络 OpenVPN
2004-01-05 00:40 我爱网络 OpenVPN 新一代的领军旗舰 前进方向的代表
openvpn 2.0rc6 to service @windows
openvpn TAP driver deal method
OpenVPN
OpenVPN 新一代的领军旗舰 前进方向的代表
本blog WWW

Posted by windtear at March 10, 2005 7:57 PM

本站使用中的任何问题,请与 windtear @ windtear.net 联系
Copyright© 1999-2024 Windtear. All rights reserved.