SSL 憑證安裝攻略-OpenVPN

若您採用 OpenVPN 來做為 VPN 服務的建置技術,並且欲加裝 SSL 數據憑證,您可以參考以下步驟來進行安裝。(如何選購一張適合您的 SSL 憑證,可參考: 域名型 SSL (DVSSL) 和企業型 SSL (OVSSL),如何選擇?)

本文分為三個段落,如下:

一、產生憑證請求檔
二、憑證安裝
三、憑證匯出


一、 產生憑證請求檔

執行下列命令產生金鑰配對 &憑證請求檔(CSR)

1. Cent OS or RedHat

openssl genrsa -out <key_filename>.key 2048     *(此key檔請務必保留)

openssl req -new -out <csr_filename>.csr -key <key_filename>.key 接著輸入憑證資訊 , 依序為

  • 國家名稱:使用無標點符號的兩個字母代碼表示國家,範例為 TW
  •  州或省別:使用完整名稱,範例為 Taipei City
  • 地區或城市:使用完整名稱,範例為 Taipei City
  • 公司行號:即公司名稱,範例為 Cloudmax Inc.
  • 組織單位:提出要求的部門或組織單位的名稱,範例為 IT Dept
  • 一般名稱:「一般名稱」是指主機 + 網域名稱,範例為 poc.cloudmax.com.tw

注意:在產生 CSR 時,請勿輸入您的電子郵件地址 (email address)、通關詞組 (A challenge password) 或選用的公司名稱 (An option company name) , 此三項直接 Enter 帶過即可。 openvpn

2. Windows

下載 Openssl for Win32 http://slproweb.com/products/Win32OpenSSL.html

安裝後,於命令提示字元 (cmd),移動至 openssl.exe 指令路徑,依預設應為 cd C:\OpenSSL-Win32\bin,接著執行:

openssl.exe genrsa -out <key_filename>.key 2048            *(此key檔請務必保留)

openssl.exe req -new -key <key_filename>.key -out <csr_filename>.csr -config openssl.cfg

接著輸入憑證資訊 , 依序為:

  • 國家名稱:使用無標點符號的兩個字母代碼表示國家,範例為 TW
  • 州或省別:使用完整名稱,範例為 Taipei City
  • 地區或城市:使用完整名稱,範例為 Taipei City
  • 公司行號:即公司名稱,範例為 Cloudmax Inc.
  • 組織單位:提出要求的部門或組織單位的名稱,範例為 IT Dept
  • 一般名稱:「一般名稱」是指主機 + 網域名稱,範例為 poc.cloudmax.com.tw

注意:在產生 CSR 時,請勿輸入您的電子郵件地址 (email address)、通關詞組 (A challenge password) 或選用的公司名稱 (An option company name) , 此三項直接 Enter 帶過即可。 openVPN


二、憑證安裝

1. 安裝憑證 – Server 端

[ CentOS or RedHat ]

安裝完成 OpenVPN 套件後,OpenVPN 預設須將憑證放置於 /etc/openvpn 目錄下,拿到憑證後加上所保留的金鑰 key 檔,應有以下檔案:

  • 金鑰 key 為key
  • 憑證商所簽署之憑證為crt
  • 憑證商中繼憑證為 ca.crt

須將金鑰key、憑證商所簽屬之憑證、憑證商中繼憑證,放置於 /etc/openvpn 目錄下,並修改 /etc/openvpn/server.conf 中設定,範例如下:

OpenVPN -CentOS or RedHat

完成後重啟 OpenVPN 服務,service openvpn restart

 

[ Windows ]
安裝完成 OpenVPN 套件後,OpenVPN 預設須將憑證放置於 C:\Program Files\OpenVPN\config 目錄下,拿到憑證後加上所保留的金鑰key檔,應有以下檔案:

  • 金鑰 key 為key
  • 憑證商所簽署之憑證為crt
  • 憑證商中繼憑證為crt

須將金鑰key、憑證商所簽屬之憑證、憑證商中繼憑證,放置於 /etc/openvpn 目錄下,並修改 /etc/openvpn/server.conf 中設定,範例如下:

OpenVPN-Windows

完成後重啟OpenVPN服務,可由服務管理找到 OpenVPN Service ,點選右鍵重新啟動,或是命令提示字元(cmd):

net stop “OpenVPN Service”

net start “OpenVPN Service”

2. 安裝憑證 – Client 端

[ CentOS or RedHat ]
OpenVPN 預設須將憑證放置於 /etc/openvpn 目錄下,故用戶端也需安裝 OpenVPN 套件。

用戶端需信任伺服器之憑證,因此須將 ROOT CA 憑證放置於 /etc/openvpn 目錄下,並修改 /etc/openvpn/client.conf 中設定。

完成後重啟OpenVPN服務:service openvpn restart。

[ Windows ]
OpenVPN 預設須將憑證放置於 C:\Program Files\OpenVPN\config 目錄下,故用戶端也需安裝 OpenVPN 套件。

用戶端需信任伺服器之憑證,因此須將ROOT CA憑證放置於C:\Program Files\OpenVPN\config 目錄下,並修改 C:\Program Files\OpenVPN\config\client.ovpn 中設定。

完成後重啟OpenVPN服務,可由服務管理找到 OpenVPN Service,點選右鍵重新啟動,或是命令提示字元(cmd):

net stop “OpenVPN Service”

net start “OpenVPN Service”

 


三、憑證匯出(伺服器憑證匯出)

[ CentOS or RedHat ]
以檔案形式使用憑證,若欲匯出,只需將 /etc/openvpn 目錄下的伺服器金鑰 ( .key檔 )、伺服器憑證檔 ( .crt檔 )、中繼憑證檔 ( .crt檔 ) 下載即可。

可使用如 WinSCP &  FTP 之類方式下載。

[ Windows ]
以檔案形式使用憑證,若欲匯出,只需將 C:\Program Files\OpenVPN\config 目錄下的伺服器金鑰 ( .key檔)、伺服器憑證檔(.crt檔)、中繼憑證檔(.crt檔) 複製即可存放。

 

本文由 Cloudmax 匯智技術團隊撰寫提供。

圖片來源:photoAC / https://www.photo-ac.com/

發表迴響