OpenVPN原理与证书类型

 2024/12/05 

这篇博客仅供了解Openvpn原理与证书原理，内容可能并不适用于最新版Openvpn的验证
可行方案请看最新博文《Let’s Encrypt生成免费HTTPS证书，与应用与Openvpn》

OpenVpn基于SSL VPN的方式，提供数据私密性，端点验证，信息完整性等特性
SSL独立于应用，适用于企业异地或者移动用户拨号连接总部，实现VPN不间断的按需链接

OpenVpn属于C/S架构，需要单独部署OpenVpn客户端与服务器。且服务端最好需要公网IP

以前一直搞不懂证书什么巴拉巴拉的，我们公司搭的就是jumpserver+openvpn，我正好也搭一个玩玩，总算搞明白了SSL证书的生成，以及他们的关系

证书文件类型

不一定叫这个名，但是作用是一样的

server.crt 服务端证书文件，同时包含着公钥
server.key 服务端私钥文件
client.crt 客户端证书文件，同时包含着公钥
client.key 客户端私钥文件
client.csr 客户端证书请求文件
ca.crt CA的自证证书
ca.key CA的私钥
pem文件另一种格式的证书文件，可以由crt和key结合生成

其中

ca的证书和server的证书都可以直接签发
而client的证书，需要生成证书请求文件csr
然后请求ca，联合签发client.crt

OpenVpn CA验证的过程

客户端发起连接

客户端证书文件client.crt
客户端配置文件-表明客户端要连接的vpn服务地址与端口

服务端检查客户端证书文件

服务端通过找CA机构

证明客户端证书文件合法

客户端检查服务端证书文件

客户端通过找CA机构

证明服务端证书文件合法

客户端加密数据

客户端使用server.crt进行加密

服务端通过server.key进行解密

服务端加密数据

服务端使用client.crt进行加密

客户端通过client.key进行解密

环境

CentOS7.9.2009
120.26.160.133 vpn-server 有EIP的ECS
192.168.10.220 windows-client
192.168.10.100 linux-client

OpenVpn部署

在服务端制作证书（使用easy-rsa-old）

https://github.com/OpenVPN/easy-rsa-old
下载master分支
unzip easy-rsa-old-master.zip

# 小小修改一下vars变量文件
sed -i 's/^export KEY_COUNTRY.*/export KEY_COUNTRY="CN"/g' easy-rsa-old-master/easy-rsa/2.0/vars
sed -i 's/^export KEY_PROVINCE.*/export KEY_PROVINCE="Beijing"/g' easy-rsa-old-master/easy-rsa/2.0/vars
sed -i 's/^export KEY_CITY.*/export KEY_CITY="Beijing"/g' easy-rsa-old-master/easy-rsa/2.0/vars
cd easy-rsa-old-master/easy-rsa/2.0/
source vars
./clean-all

# 创建ca的证书文件
./build-ca

# 创建server的证书文件
./build-key-server vpnserver

# 创建client的证书
./build-key vpnclient

# 生成密钥交换文件信息
./build-dh

# 生成一个ta.key，抗dos的，不生成会启动报错
openvpn --genkey --secret ta.key

在服务端制作证书（使用openssl）

mkdir /ssl
cd /ssl
# 生成ca.key
openssl genrsa -out ca.key 4096
# 生成ca.crt
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# 生成vpnserver.key
openssl genrsa -out vpnserver.key 4096
# 生成vpnserver.crt
openssl req -new -x509 -key vpnserver.key -out vpnserver.crt -days 3650
# 生成vpnclient.key
openssl genrsa -out vpnclient.key 4096
# 生成vpnclient.csr
openssl req -new -key vpnclient.key -out vpnclient.csr
# 使用ca签署证书vpnclient.crt
openssl x509 -req -in vpnclient.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out vpnclient.crt -days 3650

# 生成dh2048.pem
openssl dhparam -out dh2048.pem 2048

# 生成ta.key
openvpn --genkey --secret ta.key

配置OpenVpn服务端

yum -y install openvpn
版本
openvpn-2.4.12

# 移动证书
cd /ssl
cp ca.crt server.crt dh2048.pem server.key /etc/openvpn/server
cp dh2048.pem ta.key /etc/openvpn/server/

# 修改OpenVpn模板配置文件
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf /etc/openvpn/server
cd /etc/openvpn/server

如果证书和server.conf不在同个目录下，那还需要修改server.conf中文件的相对路径

# 以下是一些字段的含义
ca ca.crt                               ca证书位置
cert vpnserver.crt                      server.crt的位置
server 10.8.0.0 255.255.255.0           vpn的端点网段信息
cipher AES-256-GCM                      加密方式
push "route 192.168.10.0 255.255.255.0" 要推送的网段信息
log         openvpn.log                 日志位置

# 开启服务器路由转发，加载到内核中
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

# 启动服务器端OpenVpn
cd /etc/openvpn/server
openvpn --daemon --config server.conf
#ss -tunlp | grep 1194
#udp    UNCONN     0      0         *:1194                  *:*                   users:(("openvpn",pid=3354,fd=6))

配置OpenVpn客户端

思路就是先在服务端配好客户端配置，然后拿出去给别的主机用

工作目录在/etc/openvpn/client
# 放证书
cd /ssl/
cp ca.crt vpnclient.crt vpnclient.key /etc/openvpn/client/
cp ta.key /etc/openvpn/client/

# 改配置文件
cd /etc/openvpn/client
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/client.conf .

一些字段:
cert client.crt            crt文件位置
remote 120.26.160.133 1194 指定服务端的地址
cipher AES-256-GCM         加密方式

# 改名，必须以ovpn为后缀
mv client.conf client.ovpn

# 打包，以发送给vpn客户端
cd ..
tar -cf vpn-client.tar.gz client/

windows系统客户端

将配置文件传送到windows系统上

在OpenVpn官网下载安装客户端
https://openvpn.net/community-downloads/

设置文件加载路径，改为ovpn文件所在地址

linux系统客户端

1 2	yum -y install openvpn openvpn --daemon --config <ovpn文件位置>

使用用户密码进行验证

如果按照上面的这个步骤连接报错，是因为CA并不是可信CA，openvpn无法验证服务端的证书，就会报错

所以使用用户密码验证

使用用户密码验证，需要在服务端额外添加验证用户密码的脚本

以及修改配置文件

创建验证脚本

指定我的密码文件为/etc/openvpn/server/pass_file

sudo tee > /etc/openvpn/server/auth_pass.sh <<EOF
#!/bin/sh

# checkpsw.sh (C) 2004 Mathias Sundman <mathias@openvpn.se>
#
# This script authenticates OpenVPN users against a plain text file.
# The passfile should contain one row per user with the username first,
# followed by one or more spaces or tabs, and then the password.

PASSFILE="/etc/openvpn/server/pass_file"
LOG_FILE="/etc/openvpn/server/openvpn-password.log"
TIME_STAMP=$(date "+%Y-%m-%d %T")

# Check if the password file is readable
if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> "${LOG_FILE}"
    exit 1
fi

# Extract the correct password for the given username
CORRECT_PASSWORD=$(awk -v user="${username}" '!/^;/ && !/^#/ && $1 == user {print $2; exit}' "${PASSFILE}")

# Check if the user exists in the password file
if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> "${LOG_FILE}"
    exit 1
fi

# Check if the provided password matches the stored password
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> "${LOG_FILE}"
    exit 0
else
    echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> "${LOG_FILE}"
    exit 1
fi
EOF
chmod +x auth_pass.sh
echo "test 123456" >> /etc/openvpn/server/pass_file

修改server.conf文件

添加

script-security 3 ——允许执行所有脚本
auth-user-pass-verify /etc/openvpn/server/auth_pass.sh via-env ——指定脚本
username-as-common-name ——使用客户端提供的用户名
verify-client-cert none ——不需要客户端提供证书，而使用用户名和密码
client-config-dir ccd ——指定客户端配置文件存放位置为ccd目录

添加单独配置到ccd目录
cd /etc/openvpn/server
mkdir ccd
echo "ifconfig-push 10.8.0.20 255.255.255.0" > /etc/openvpn/server/ccd/test
分配一个静态IP给我的测试主机

修改client.conf文件

删除
cert vpnclient.crt
key vpnclient.key
不需要用证书来验证了，只需要ta.key和ca.crt

添加
auth-user-pass
auth-nocache

sudo tee > password<<EOF
test
123456
EOF

在windows和linux中添加对CA机构的信任

CentOS7.9.2009

1
2
3

cp ca.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust

原文作者：王盛

原文链接：https://akemi.zj.cn/2024/12/05/OpenVPN/

发表日期：December 5th 2024, 6:20:06 pm

更新日期：March 10th 2025, 9:10:36 pm

Next Post

无敌的镜像加速器地址
Previous Post

Helm部署minIO-单点与分布式

CATALOG

1. 证书文件类型
2. OpenVpn CA验证的过程
3. 环境
4. OpenVpn部署
5. 使用用户密码进行验证
6. 在windows和linux中添加对CA机构的信任
1. 6.1. CentOS7.9.2009

Total : 203

2025

2024

12/30 前端入门--HTML基础标签
12/17 Helm父子chart的关系与实战
12/12 常用的对象存储连接方式
12/11 Shell脚本-添加Openvpn账号密码
12/10 Python-tk库—图形化管理httpd服务
12/09 Python-tk库—图形化管理tomcat服务
12/09 argoCD介绍，部署与对接代码仓库
12/08 CRD自定义API资源介绍与使用官方案例
12/08 无敌的镜像加速器地址
12/08 使用Mongodb-Kubernetes-Operator部署mongodb集群
12/05 OpenVPN原理与证书类型
12/05 Helm部署minIO-单点与分布式
12/04 Helm部署mysql8
12/04 Helm部署redis5与使用local-path-provisioner
12/01 镜像管理工具skopeo部署与实战
12/01 Python-tk库—图形化管理nginx服务
12/01 k3s两节点测试环境快速部署
12/01 ubuntu20.04桌面版快速部署单点k8s
11/19 Python基于多种方式检测linux服务运行状态(进程筛选、systemctl、API)
11/17 Python使用mysql-connector-python库实现CRUD
11/16 Python-kubernetes模块案例—根据不同ns更新pod副本数
11/16 Python-kubernetes模块—k8s集群资源管理方法
11/13 Python socket模块案例—简单网络编程
11/13 Python boto3模块—访问S3风格API
11/11 Python Flask框架—快速开发API
11/10 Python request模块常用方法
11/09 Python json模块案例—提取与交换json数据
11/09 Python yaml模块案例——提取与修改k8s配置文件
11/08 Python fabric模块案例—更方便使用ssh
11/07 Python paramiko模块案例—创建SSH、SFTP连接
11/07 Python logging模块案例—切割日志与告警发送
11/05 Python psutil模块案例—获取系统硬件状态
11/03 Python subprocess模块案例—执行系统命令与创建子进程
11/01 面对锁表，他的选择是……查询锁源
11/01 面对锁表，他的选择是……监控锁状态与查看死锁
11/01 面对主从延时，他的选择是……主从性能优化
10/31 Python案例——备份文件，清理过期日志，批量重命名文件
10/29 博客迁移小记——从github page迁移到cloudflare page
10/16 Kafka集群搭建
10/15 jenkins构建pipeline项目到k8s
10/13 K8s二进制安装
10/10 Jenkins构建pipeline项目到docker
10/08 Jenkins yum部署与k8s容器化部署
10/08 Jenkins主从架构
10/08 Jenkins构建maven项目
10/08 Jenkins构建自由风格项目——拉取gitlab代码、使用脚本上传代码
10/05 使用Dockerfile打包与发布一个tomcat博客
10/01 Git与Gitlab使用知识整理
09/26 Ansible项目
09/24 Redis集群主从关系优化
09/24 Redis ASK机制、cluster-node-timeout参数
09/24 Redis-Cluster集群模式
09/24 Redis-Cluster扩容与缩容
09/22 Redis主从复制
09/22 Redis哨兵模式
09/19 Redis事务
09/19 Redis部署与参数
09/19 Redis数据类型与常用操作
09/19 Redis持久化
09/18 zabbix自定义报警——mysql主从复制状态检查
09/17 Zabbix-Proxy
09/17 Zabbix自动注册
09/16 Zabbix自动发现
09/16 zabbix监控——JMX客户端
09/14 Zabbix企业微信报警
09/13 Zabbix邮件报警
09/12 Zabbix自定义监控
09/12 Zabbix自定义模板
09/12 Zabbix5.0安装与部署
09/10 Mycat与keepalived高可用
09/10 Mycat部署与读写分离
09/08 MySQL高可用之MHA
09/05 MySQL高可用之主从复制(已更新)
09/04 MySQL高可用之双主+keepalived
09/03 MySQL高可用方案介绍
09/03 MySQL元数据与information_schema
09/02 SQL语句详解
08/31 MySQL多实例
08/27 Shell实战
08/23 Tomcat综合案例
08/21 Tomcat基础知识
08/18 Nginx综合案例
08/15 lnmp搭建笔记
08/14 Nginx案例
08/13 logrotate服务
08/13 使用mailx发送到企业邮箱
08/11 Rsync数据备份工具
08/09 Linux系统Firewalld使用
07/26 Mysql备份
07/26 Mysql-Federate远程链接数据库
07/24 mysql安全审计之Mcafee Mysql-Audit
07/22 Mysql用户权限与密码管理、角色管理
07/22 Mysql-Linux环境部署
07/18 Mysql-InnoDB存储引擎、InnoDB事务
07/15 Shell零碎知识
06/28 Linux环境初始化
06/28 Iptables使用
06/28 Linux零碎常识
06/28 Linux常见报错记录
06/28 Nginx详解
06/23 虚拟化基础知识
06/18 Docker-compose部署lnmp
06/18 临时容器ephemeralcontainers
06/13 k8s可视化UI界面Kuboard
06/13 k8s部署MongoDB主从集群
06/12 k8s部署Redis高可用集群
06/04 Playbook实战案例
06/04 Rook部署ceph
06/02 EFK日志处理平台-2
06/01 k8s自动扩缩容HPA VPA KPA
06/01 Python代码封装至k8s中运行
06/01 将SpringCloud项目迁移至k8s
05/17 EFK日志处理平台
05/15 Linux单机监控
05/14 Docker管理
05/06 linux screen与tmux
05/06 DevOps工具链
05/06 Helm
05/06 Istio微服务网格
05/06 Prometheus普罗米修斯
05/06 k8s可视化UI界面Rancher
05/01 Gitlab
05/01 ceph对接k8s
05/01 Git代码管理工具
05/01 go代码封装到k8s中运行
05/01 VMware I2I迁移至PVE 小记
04/26 ESXi物理机安装踩坑汇总
04/26 Ansible笔记集合
04/23 根分区扩容小记
03/16 CEPH分布式存储
02/27 本地部署harbor私有镜像仓库
02/27 k8s基础知识
02/06 Python学习笔记
02/06 虚拟化系统PVE物理机快速安装指南
02/02 使用1panel搭建Hexo博客

2023