OpenVPN-2.1.1制作证书指南 - openvpn, 证书, 批处理, 服务器

OpenVPN-2.1.1制作证书指南 (1323人路过)

03:46 , 引用(0) Via 本站原创

OpenVPN-2.1.1制作证书指南

本节介绍如何在Apache Server 2.0.59中加入SSL支持，使得SVN客户端可以通过https来访问版本库。
配置成功后版本库管理员可以禁止掉http访问，所有用户都需要先由管理员生成个人的访问证书，安装在本机的浏览器内，才可以通过https访问版本库，这样就使得版本库的访问安全性大大提高了。

使用的各软件如下：
1、openvpn-2.1.1(http://openvpn.net/release/)，主要是用来制作证书用的，安装在服务器端；
文件名：openvpn-2.1.1-install.exe

一、证书制作
1、证书制作前的准备工作
进入C:\Program Files\OpenVPN\easy-rsa目录，首先运行init-config ，该命令生成批处理文件vars.bat，我们可以对vars.bat中的KEY_COUNTRY、KEY_PROVINCE等信息进行修改：

修改完成后，运行vars.bat，以使参数生效，然后再运行clean-all.bat。

2、制作根证书
运行build-ca.bat，类似Country Name等之前已经在vars.bat中设置好的变量，可以直接按回车键通过，注意：
Common Name (eg, your name or your server's hostname) []:随便输入公司的名字即可。
Sign the certificate? [y/n]:输入y；
1 out of 1 certificate requests certified, commit? [y/n]输入y。

该名称运行成功后，在子目录keys下生成了根证书ca.crt，另外也生成了根证书的私钥文件ca.key。

3、制作服务器证书
运行build-key-server server，注意：
Common Name (eg, your name or your server's hostname) []:需要填入服务器的域名或者服务器的IP地址，注意这个域名或者IP地址需要和Apache httpd.conf中的ServerName一致。
Sign the certificate? [y/n]:输入y；
1 out of 1 certificate requests certified, commit? [y/n]输入y。

该命令运行成功后，在子目录keys下生成了server.crt（服务器证书）和server.key（服务器证书的私钥）。

4、制作客户端访问证书
运行build-key-pkcs12 <证书名称>，例如build-key-pkcs12 sunny。
注意：
Common Name (eg, your name or your server's hostname) []输入授权用户的名称，比如Sunny；
Sign the certificate? [y/n]:输入y；
1 out of 1 certificate requests certified, commit? [y/n]输入y。

二、配置Apache Http Server
详见《SVN代码服务器安装部署步骤(V1.x).TXT》

三、安装客户端证书
将第一步生成的后缀为p12的证书文件复制到客户端，然后双击导入，或者通过IE的工具/Internet选项/内容/证书/个人，点击导入,文件类型选“个人信息交换(*.pfx,*.p12)”，导入证书文件，如果之前生成证书时设置了密码，那么在这儿也要输入密码。

四、开始测试
在客户机IE内运行https://<服务器域名或IP>，在IE5里应该会弹出一个选择证书的对话框，选择证书后即可看到默认的Apache网页。而在IE6中可能不会弹出选择证书的对话框即可看到默认的Apache网页。

如果已经按照《一》和《二》文配置好了SVN访问URL，则可以利用TortoiseSVN的版本库浏览器，输入地址https://<服务器域名或IP>/<库名>，确定后会弹出“打开用户端凭证”的对话框，选中客户端证书文件打开后，出现一个TortoiseSVN错误提示对话框，这个错误提示是无所谓的，就是说证书发放者是未知的，直接点击“总是接受”即可，然后按正常访问逻辑输入版本库的访问用户名和密码，即可访问库里的版本。