OpenWRT 路由器 OpenConnect VPN 详细图文教程 - 证书配置篇

博主： Stille
发布时间：2020 年 03 月 20 日
33147 次浏览
19 条评论
9971字数
分类：技术教程

前言

上文详细介绍了 OpenWRT 路由器 OpenConnect VPN 的基础配置,本文将介绍通过部署自签 CA 根证书和客户端用户证书来实现更安全和方便的登录方式.

作为完美主义强迫症重度患者,经过参考网上的各种教程,以及朋友的指导和交流,实现了证书颁发,吊销,取消吊销.并在各种场景下完成了几种不同需求的登录方式测试.踩过各种坑后终于完美实现了整个使用环境的部署流程.特将详细步骤和重点整理出图文教程,供大家参考.

本文大纲

自签证书
- 自签 CA 根证书
- 自签用户证书
- 吊销用户证书
- 取消吊销用户证书
编辑模版
- 参数介绍
- 多种登录方式
客户端安装配置
- 客户端下载
- Windows 客户端安装流程
- macOS 客户端安装流程
- iOS 客户端安装流程

本文为 Stille 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.

自签证书

自签证书参考网上各种教程很容易实现,同时还需要配置服务端模版才能生效启用.当多用户使用时还涉及到吊销证书和取消吊销的需求.本文将详细讲解整个完整的流程,并实践测试成功.

重点推荐

提前规划了证书目录和用户目录,方便证书后期的颁发,吊销和取消吊销等管理.推荐把以下所有命令复制到本地编辑器中,使用 Ctrl+F 或 CMD+F 查找并全部替换所有 stille 和 IOIOX 为 自己的ID 和 自己的组织 即可以快速生成属于你自己的整套证书.本文完全属于新手保姆级教程.

创建证书目录

创建ssl目录,以存放ca 根证书相关文件.

mkdir -p /etc/ocserv/ssl

创建user目录,以存放用户证书相关文件.

mkdir -p /etc/ocserv/ssl/user

创建revoked目录,以存放吊销证书相关文件.

mkdir -p /etc/ocserv/ssl/revoked

自签 CA 根证书

创建CA 根证书模版

cat >/etc/ocserv/ssl/ca.tmp<<EOF
cn = "IOIOX CA"
organization = "IOIOX"
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key
EOF

生成CA 根证书私钥

openssl genrsa -out /etc/ocserv/ssl/ca.key.pem 2048

根据CA 根证书私钥和CA 根证书模版生成CA 根证书.

certtool --generate-self-signed --hash SHA256 --load-privkey /etc/ocserv/ssl/ca.key.pem --template /etc/ocserv/ssl/ca.tmp --outfile /etc/ocserv/ssl/ca.cert.pem

生成 Diffie-Hellman 密钥

certtool --generate-dh-params --outfile /etc/ocserv/ssl/dh.pem

自签用户证书

创建用户证书模版

cat >/etc/ocserv/ssl/user/stille.tmp<<EOF
cn = "stille"
unit = "IOIOX"
expiration_days = 3650
signing_key
tls_www_client
EOF

生成用户证书私钥

openssl genrsa -out /etc/ocserv/ssl/user/stille.key.pem 2048

根据用户证书私钥,CA 根证书,CA 根证书私钥,用户证书模版生成用户证书.

certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/ssl/user/stille.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --template /etc/ocserv/ssl/user/stille.tmp --outfile /etc/ocserv/ssl/user/stille.cert.pem

证书链补全

cat /etc/ocserv/ssl/ca.cert.pem >>/etc/ocserv/ssl/user/stille.cert.pem

生成.p12证书文件

由于 macOS 导入证书必须要有密码.务必修改末尾 pass: 后的密码.

openssl pkcs12 -export -inkey /etc/ocserv/ssl/user/stille.key.pem -in /etc/ocserv/ssl/user/stille.cert.pem -name "stille" -certfile /etc/ocserv/ssl/ca.cert.pem -caname "IOIOX CA" -out /etc/ocserv/ssl/user/stille.AnyConnect.p12 -passout pass:12345678

至此CA 根证书和用户证书已成功生成.将stille.AnyConnect.p12证书拷贝至电脑以备导入使用.
CA 根证书所在路径为: /etc/ocserv/ssl/ca.cert.pem
.p12 用户证书所在路径为: /etc/ocserv/ssl/user/stille.AnyConnect.p12

吊销证书

当颁发多个用户证书来满足多用户使用时,证书分发给各用户后时无法远程吊销.此时如需禁止某用户登录 VPN ,则需生成吊销列表文件,让服务端读取列表文件,当该用户再次登录时,服务端会根据列表禁止登录.

创建空的吊销文件

以下三步为吊销证书创建基础文件,后续吊销或新增吊销,无需在重复此三步.

创建吊销模版

cat <<EOF >/etc/ocserv/ssl/revoked/crl.tmpl
crl_next_update = 365
crl_number = 1
EOF

创建空的吊销文件

touch /etc/ocserv/ssl/revoked/revoked.pem

根据CA 根证书私钥,CA 根证书,吊销模版生成空的吊销列表文件.

certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem

吊销用户证书

以上三步为吊销证书创建基础文件,后续吊销或新增吊销,仅需重复以下两步.

将需要吊销的用户证书写入吊销文件,例如将stille的证书吊销:

cat /etc/ocserv/ssl/user/stille.cert.pem >> /etc/ocserv/ssl/revoked/revoked.pem

根据CA 根证书私钥,CA 根证书,吊销文件,吊销模版写入吊销列表文件.

certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-certificate /etc/ocserv/ssl/revoked/revoked.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem

生成吊销列表文件后,需在 OpenConnect VPN 中编辑模版启用吊销证书列表,重启服务生效.详情可继续参考下文的模版编辑.

取消吊销

在多用户使用的场景使用到吊销证书,也可能会有恢复吊销的需求.同样可以根据以下命令实现.

需要注意的是,取消吊销的原理是把 revoked.pem 中 需要取消掉的证书 移除,并更新 crl.pem ,让服务端 不再禁止 该用户登录.
当 revoked.pem 中只有一个证书需要移除,移除后的 revoked.pem 文件为空文件,那么在更新 crl.pem 时,其命令是有所区别的.下文将以两种场景讲解.

当前仅一个已吊销证书,将其恢复使用.

编辑 revoked.pem 删除文件中已吊销的用户证书.删除后的revoked.pem为空文件,以下命令需删除 --load-certificate /etc/ocserv/template/revoked.pem参数来更新crl.pem.否则会出现以下错误信息:

Generating a signed CRL...
Error loading certificates: No certificate was found.

vi /etc/ocserv/ssl/revoked/revoked.pem
# 删除取消吊销的用户证书,删除后的 revoked.pem 为空文件.
certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem

当前有多个已吊销证书,恢复使用其中一个.

编辑 revoked.pem 找到并删除文件中已吊销的用户证书.由于revoked.pem还存在其他吊销证书的信息,以下命令则需要 继续使用 --load-certificate /etc/ocserv/template/revoked.pem参数来更新crl.pem.

vi /etc/ocserv/ssl/revoked/revoked.pem
# 删除取消吊销的用户证书
certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-certificate /etc/ocserv/ssl/revoked/revoked.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem

编辑模版

参数介绍

以下为默认模版中比较重要的几个参数:

#auth = "certificate"
auth = "|AUTH|"
#ca-cert = /etc/ocserv/ca.pem
#crl = /etc/ocserv/crl.pem
#cert-user-oid = 0.9.2342.19200300.100.1.1

#auth = "certificate"
证书登录参数,默认被注释禁用.如需证书登录,去掉注释符号#以启用.

auth = "|AUTH|"
账号密码登录参数,默认开启.网上大多教程是以Linux为安装平台.所以此处是auth = "plain[passwd=/etc/ocserv/ocpasswd]",而本文则是部署在OpenWRT上,此处"|AUTH|"大致是调用 Web 管理页面中的用户管理系统.

#ca-cert = /etc/ocserv/ca.pem
CA 根证书路径参数,默认被注释禁用.如需证书登录,去掉注释符号#以启用,并根据上文修改为正确的证书路径.

#crl = /etc/ocserv/crl.pem
吊销列表文件路径,默认被注释禁用.当吊销用户证书时,去掉注释符号#以启用,并根据上文修改为正确的文件路径.

#cert-user-oid = 0.9.2342.19200300.100.1.1
证书用户登录信息,默认被注释禁用.当启用证书登录时,去掉注释符号#以启用,并修改为cert-user-oid = 2.5.4.3即可在后台查看使用证书登录的用户信息.

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
此两个参数为当使用域名来连接 VPN 时,所需验证的域名证书的绝对路径.

仅账号密码登录

保持默认模版参数为仅使用账号密码登录

#auth = "certificate"
auth = "|AUTH|"
#ca-cert = /etc/ocserv/ca.pem
#crl = /etc/ocserv/crl.pem
#cert-user-oid = 0.9.2342.19200300.100.1.1

仅证书登录

启用证书登录,禁用账号密码登录.

取消注释 auth = "certificate" 启用证书登录
注释 auth = "|AUTH|" 禁用账号密码登录
取消注释并修改 CA 根证书路径 ca-cert = /etc/ocserv/ssl/ca.cert.pem
取消注释并修改值 cert-user-oid = 2.5.4.3

auth = "certificate"
#auth = "|AUTH|"
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3

证书及账号密码双重验证

此方案需同时拥有证书和账号密码才可登录,且账号名需和证书中的用户名保持一致才能搭配使用登录.证书中的用户名取决于用户模版中的 cn 项的值. 已经过实践测试.

取消注释 auth = "certificate" 启用证书登录
取消注释 auth = "|AUTH|" 启用账号密码登录
取消注释并修改 CA 根证书路径 ca-cert = /etc/ocserv/ssl/ca.cert.pem
取消注释并修改值 cert-user-oid = 2.5.4.3

auth = "certificate"
auth = "|AUTH|"
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3

证书及账号密码登录并存

推荐此方案,可为自己配置证书以方便安全登录,临时为其他用户分配账号密码登录,方便删除.

取消注释 auth = "certificate" 启用证书登录
取消注释 auth = "|AUTH|" 并修改为 enable-auth = "|AUTH|"
取消注释并修改 CA 根证书路径 ca-cert = /etc/ocserv/ssl/ca.cert.pem
取消注释并修改值 cert-user-oid = 2.5.4.3

auth = "certificate"
enable-auth = "|AUTH|"
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3

启用吊销证书列表

注意如没有生成吊销列表文件,请不要启用此参数,否则会导致服务无法启动.
如已生成吊销列表文件,并吊销用户,但未取消注释以启用参数,将无法让服务端读取列表禁止被吊销的用户证书登录.

根据实际情况注释或取消注释并修改吊销文件路径 crl = /etc/ocserv/ssl/revoked/crl.pem

#crl = /etc/ocserv/crl.pem
# 如有吊销用户证书,需取消注释,并修改 crl.pem 路径.
crl = /etc/ocserv/ssl/revoked/crl.pem

至此服务端的配置已全部完成

客户端安装配置

客户端下载

上篇文章推荐的 Cisco AnyConnect 下载地址:

https://pan.ioiox.com/shared/FOAgYXjTiVHqnMUN

Windows 客户端安装配置流程

导入用户证书

双击打开AnyConnect.p12导入证书

下一步

输入生成.p12证书文件时创建的密码

自动选择证书存储

完成导入

确认安全警告

导入成功

安装配置 Windows 客户端

常规安装 Windows 版客户端,打开软件,输入DDNS域名和端口连接即可无密码,无任何安全警告提示的登录 VPN.

连接成功

macOS 客户端安装配置流程

前方有坑,提前提醒.注意在首次登录时会提示 使用钥匙串中的私钥 一定要点 始终允许 ,否则后续每次登录都会提示.

导入用户证书

双击打开AnyConnect.p12证书默认添加到登录

输入生成.p12证书文件时创建的密码

添加成功

安装配置 macOS 客户端

双击AnyConnect.pkg安装

仅需安装VPN,取消勾选其他组件.

提示启用系统扩展

偏好设置 - 安全性与隐私 - 解锁允许

系统扩展成功启用,可忽略重新启动电脑.

继续安装组件

安装成功

打开AnyConnect输入DDNS域名和端口连接

输入 macOS 的登录密码,务必点击 始终允许.

连接成功

iOS 客户端安装配置流程

iOS 客户端的证书导入相对麻烦,需要使用 http/https 的 url 方式来导入.可以将证书临时存放到网站或者云存储上,待导入完成后在删除以确保安全.

下载 iOS 客户端

AppStore 中搜索并下载名为Cisco AnyConnect的 APP

配置 iOS 客户端

打开 APP - 主页 - 连接 - 添加 VPN 连接 - 输入DDNS域名和端口保存 - 允许添加 VPN 配置 - 输入 iPhone 密码

iOS 客户端导入证书

打开 APP - 诊断 - 证书 - 导入用户证书 - 输入AnyConnect.p12的url链接 - 输入生成.p12证书文件时创建的密码

连接成功

点击启用连接成功

其他客户端

Android 和 Linux 由于没有相关设备和环境,请自行 Google 搜索相关教程.

结语

至此已完成 OpenConnect VPN 的全部部署流程.如果本文对你有帮助,可以收藏到书签,后期博主在使用过程中发现更多的功能和技巧会再次更新到文章之中.同时感谢以下几篇文章让博主在实践中起到了重要参考作用:

本文为 Stille 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.

本文链接 https://www.ioiox.com/archives/90.html

晚高峰稳定 4K 的 IPLC 机场解锁各流媒体支持 ChatGPT.

RedteaGO - 最划算的大陆漫游 eSim 流量卡，原生境外 IP，注册就送 3 刀。

如果喜欢我的文章,觉得对你有帮助,请随意赞赏!

19 条评论

GL-iNet GL-AR750S OpenWRTにOpenConnectサーバをインストール | Fun scripting 2.0
February 23rd, 2021 at 11:12 am

[...]www.ioiox.com 1 pocketOpenWRT 路由器 OpenConnect VPN 详细图文教程 - 证书配置篇 - 思有云 - IOIOXhttps://www.ioiox.com/archives/90.html前言上文详细介绍了 OpenWRT 路由器 OpenConnect VPN 的基础配置,本文将介绍通过部署自签 CA 根证书和客户端用户证书来实现[...]

回复
OPEN
April 22nd, 2020 at 07:27 pm

我照你的设置完成后，可以连接，但是无法访问网络是啥情况尼，大佬？

回复
1. Stille
  April 22nd, 2020 at 08:52 pm
  
  @OPEN
  
  刚才是你在tg群问的吧?
  
  回复

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

OpenWRT 路由器 OpenConnect VPN 详细图文教程 - 证书配置篇

Stille • 2020 年 03 月 20 日

<h2>前言</h2><p>上文详细介绍了 <a href="https://www.ioiox.com/archives/89.html">OpenWRT 路由器 OpenConnect VPN 的基础配置</a>,本文将介绍通过<code>部署自签 CA 根证书和客户端用户证书</code>来实现更安全和方便的登录方式.</p><p><div class="tip inlineBlock info">作为完美主义强迫症重度患者,经过参考网上的各种教程,以及朋友的指导和交流,实现了<strong>证书颁发</strong>,<strong>吊销</strong>,<strong>取消吊销</strong>.并在各种场景下完成了<strong>几种不同需求的登录方式</strong>测试.踩过各种坑后终于完美实现了整个使用环境的部署流程.特将详细步骤和重点整理出图文教程,供大家参考.</div><h3>本文大纲</h3><ul><li><p><strong>自签证书</strong></p><ul><li><strong>自签 CA 根证书</strong></li><li><strong>自签用户证书</strong></li><li><strong>吊销用户证书</strong></li><li><strong>取消吊销用户证书</strong></li></ul></li><li><p><strong>编辑模版</strong></p><ul><li><strong>参数介绍</strong></li><li><strong>多种登录方式</strong></li></ul></li><li><p><strong>客户端安装配置</strong></p><ul><li><strong>客户端下载</strong></li><li><strong>Windows 客户端安装流程</strong></li><li><strong>macOS 客户端安装流程</strong></li><li><strong>iOS 客户端安装流程</strong></li></ul></li></ul><p><div class="tip inlineBlock success">本文为<a href="https://www.ioiox.com/stille.html" target="_blank"> Stille </a>原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.</div><hr><h2>自签证书</h2><p>自签证书参考网上各种教程很容易实现,同时还需要配置<code>服务端模版</code>才能生效启用.当多用户使用时还涉及到<code>吊销证书</code>和<code>取消吊销</code>的需求.本文将详细讲解整个完整的流程,<code>并实践测试成功</code>.</p><h3>重点推荐</h3><p><div class="tip inlineBlock success">提前规划了证书目录和用户目录,方便证书后期的颁发,吊销和取消吊销等管理.<strong>推荐</strong>把以下所有命令复制到本地编辑器中,使用 <strong>Ctrl+F</strong> 或 <strong>CMD+F</strong> 查找并全部替换所有 <strong>stille</strong> 和 <strong>IOIOX</strong> 为 <strong>自己的ID</strong> 和 <strong>自己的组织</strong> 即可以快速生成属于你自己的整套证书.<strong>本文完全属于新手保姆级教程</strong>.</div><h3>创建证书目录</h3><p>创建<code>ssl</code>目录,以存放<code>ca 根证书</code>相关文件.</p><pre><code class="lang-bash">mkdir -p /etc/ocserv/ssl</code></pre><p>创建<code>user</code>目录,以存放<code>用户证书</code>相关文件.</p><pre><code class="lang-bash">mkdir -p /etc/ocserv/ssl/user</code></pre><p>创建<code>revoked</code>目录,以存放<code>吊销证书</code>相关文件.</p><pre><code class="lang-bash">mkdir -p /etc/ocserv/ssl/revoked</code></pre><h3>自签 CA 根证书</h3><p>创建<code>CA 根证书模版</code></p><pre><code class="lang-bash">cat &gt;/etc/ocserv/ssl/ca.tmp&lt;&lt;EOF
cn = &quot;IOIOX CA&quot;
organization = &quot;IOIOX&quot;
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key
EOF</code></pre><p>生成<code>CA 根证书私钥</code></p><pre><code class="lang-bash">openssl genrsa -out /etc/ocserv/ssl/ca.key.pem 2048</code></pre><p>根据<code>CA 根证书私钥</code>和<code>CA 根证书模版</code>生成<code>CA 根证书</code>.</p><pre><code class="lang-bash">certtool --generate-self-signed --hash SHA256 --load-privkey /etc/ocserv/ssl/ca.key.pem --template /etc/ocserv/ssl/ca.tmp --outfile /etc/ocserv/ssl/ca.cert.pem</code></pre><p>生成 <code>Diffie-Hellman 密钥</code></p><pre><code class="lang-bash">certtool --generate-dh-params --outfile /etc/ocserv/ssl/dh.pem</code></pre><h3>自签用户证书</h3><p>创建<code>用户证书模版</code></p><pre><code class="lang-bash">cat &gt;/etc/ocserv/ssl/user/stille.tmp&lt;&lt;EOF
cn = &quot;stille&quot;
unit = &quot;IOIOX&quot;
expiration_days = 3650
signing_key
tls_www_client
EOF</code></pre><p>生成<code>用户证书私钥</code></p><pre><code class="lang-bash">openssl genrsa -out /etc/ocserv/ssl/user/stille.key.pem 2048</code></pre><p>根据<code>用户证书私钥</code>,<code>CA 根证书</code>,<code>CA 根证书私钥</code>,<code>用户证书模版</code>生成<code>用户证书</code>.</p><pre><code class="lang-bash">certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/ssl/user/stille.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --template /etc/ocserv/ssl/user/stille.tmp --outfile /etc/ocserv/ssl/user/stille.cert.pem</code></pre><p>证书链补全</p><pre><code class="lang-bash">cat /etc/ocserv/ssl/ca.cert.pem &gt;&gt;/etc/ocserv/ssl/user/stille.cert.pem</code></pre><p>生成<code>.p12</code>证书文件<br><div class="tip inlineBlock error">由于 macOS 导入证书必须要有密码.务必修改末尾 <strong>pass:</strong> 后的密码.</div><pre><code class="lang-bash">openssl pkcs12 -export -inkey /etc/ocserv/ssl/user/stille.key.pem -in /etc/ocserv/ssl/user/stille.cert.pem -name &quot;stille&quot; -certfile /etc/ocserv/ssl/ca.cert.pem -caname &quot;IOIOX CA&quot; -out /etc/ocserv/ssl/user/stille.AnyConnect.p12 -passout pass:12345678</code></pre><p>至此<code>CA 根证书</code>和<code>用户证书</code>已成功生成.将<code>stille.AnyConnect.p12</code>证书拷贝至电脑以备导入使用.<br><strong>CA 根证书所在路径为:</strong> <code>/etc/ocserv/ssl/ca.cert.pem</code><br><strong>.p12 用户证书所在路径为:</strong> <code>/etc/ocserv/ssl/user/stille.AnyConnect.p12</code></p><h3>吊销证书</h3><p>当颁发多个用户证书来满足多用户使用时,证书分发给各用户后时无法远程吊销.此时如需禁止某用户登录 VPN ,则需生成<code>吊销列表文件</code>,让服务端读取列表文件,当该用户再次登录时,服务端会根据列表禁止登录.</p><h4>创建空的吊销文件</h4><p><div class="tip inlineBlock info">以下三步为吊销证书创建基础文件,后续吊销或新增吊销,<strong>无需</strong>在重复此三步.</div><p>创建<code>吊销模版</code></p><pre><code>cat &lt;&lt;EOF &gt;/etc/ocserv/ssl/revoked/crl.tmpl
crl_next_update = 365
crl_number = 1
EOF</code></pre><p>创建<code>空的吊销文件</code></p><pre><code>touch /etc/ocserv/ssl/revoked/revoked.pem</code></pre><p>根据<code>CA 根证书私钥</code>,<code>CA 根证书</code>,<code>吊销模版</code>生成<code>空的吊销列表文件</code>.</p><pre><code class="lang-bash">certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem</code></pre><h4>吊销用户证书</h4><p><div class="tip inlineBlock info">以上三步为吊销证书创建基础文件,后续吊销或新增吊销,<strong>仅需</strong>重复以下两步.</div><p>将<code>需要吊销的用户证书</code>写入<code>吊销文件</code>,例如将<code>stille</code>的证书吊销:</p><pre><code>cat /etc/ocserv/ssl/user/stille.cert.pem &gt;&gt; /etc/ocserv/ssl/revoked/revoked.pem</code></pre><p>根据<code>CA 根证书私钥</code>,<code>CA 根证书</code>,<code>吊销文件</code>,<code>吊销模版</code>写入<code>吊销列表文件</code>.</p><pre><code>certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-certificate /etc/ocserv/ssl/revoked/revoked.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem</code></pre><p><div class="tip inlineBlock warning">生成吊销列表文件后,需在 OpenConnect VPN 中编辑模版<strong>启用吊销证书列表</strong>,重启服务生效.详情可继续参考下文的模版编辑.</div><h3>取消吊销</h3><p>在多用户使用的场景使用到吊销证书,也可能会有恢复吊销的需求.同样可以根据以下命令实现.<br><div class="tip inlineBlock success">需要注意的是,取消吊销的原理是把 <strong>revoked.pem</strong> 中 <strong>需要取消掉的证书</strong> 移除,并更新 <strong>crl.pem</strong> ,让服务端 <strong>不再禁止</strong> 该用户登录.<br>当 <strong>revoked.pem</strong> 中只有一个证书需要移除,移除后的 <strong>revoked.pem</strong> 文件为空文件,那么在更新 <strong>crl.pem</strong> 时,其命令是<strong>有所区别</strong>的.下文将以两种场景讲解.</div><h4>当前仅一个已吊销证书,将其恢复使用.</h4><p>编辑 revoked.pem <code>删除</code>文件中<code>已吊销的用户证书</code>.删除后的<code>revoked.pem</code>为空文件,以下命令需 <strong>删除</strong> <code>--load-certificate /etc/ocserv/template/revoked.pem</code>参数来更新<code>crl.pem</code>.<strong>否则会出现以下错误信息:</strong><br><div class="tip inlineBlock error">Generating a signed CRL...<br>Error loading certificates: No certificate was found.</div><pre><code class="lang-bash">vi /etc/ocserv/ssl/revoked/revoked.pem
# 删除取消吊销的用户证书,删除后的 revoked.pem 为空文件.
certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem</code></pre><h4>当前有多个已吊销证书,恢复使用其中一个.</h4><p>编辑 revoked.pem <code>找到并删除</code>文件中<code>已吊销的用户证书</code>.由于<code>revoked.pem</code>还存在其他吊销证书的信息,以下命令则需要 <strong>继续使用</strong> <code>--load-certificate /etc/ocserv/template/revoked.pem</code>参数来更新<code>crl.pem</code>.</p><pre><code class="lang-bash">vi /etc/ocserv/ssl/revoked/revoked.pem
# 删除取消吊销的用户证书
certtool --generate-crl --load-ca-privkey /etc/ocserv/ssl/ca.key.pem --load-ca-certificate /etc/ocserv/ssl/ca.cert.pem --load-certificate /etc/ocserv/ssl/revoked/revoked.pem --template /etc/ocserv/ssl/revoked/crl.tmpl --outfile /etc/ocserv/ssl/revoked/crl.pem</code></pre><hr><h2>编辑模版</h2><h3>参数介绍</h3><p><strong><code>以下为默认模版中比较重要的几个参数:</code></strong></p><pre><code>#auth = &quot;certificate&quot;
auth = &quot;|AUTH|&quot;
#ca-cert = /etc/ocserv/ca.pem
#crl = /etc/ocserv/crl.pem
#cert-user-oid = 0.9.2342.19200300.100.1.1</code></pre><p><strong>#auth = "certificate"</strong><br>证书登录参数,默认被注释禁用.如需证书登录,去掉注释符号<code>#</code>以启用.</p><p><strong>auth = "|AUTH|"</strong><br>账号密码登录参数,默认开启.网上大多教程是以<code>Linux</code>为安装平台.所以此处是<code>auth = &quot;plain[passwd=/etc/ocserv/ocpasswd]&quot;</code>,而本文则是部署在<code>OpenWRT</code>上,此处<code>&quot;|AUTH|&quot;</code>大致是调用 Web 管理页面中的用户管理系统.</p><p><strong>#ca-cert = /etc/ocserv/ca.pem</strong><br>CA 根证书路径参数,默认被注释禁用.如需证书登录,去掉注释符号<code>#</code>以启用,并根据上文修改为正确的证书路径.</p><p><strong>#crl = /etc/ocserv/crl.pem</strong><br>吊销列表文件路径,默认被注释禁用.当吊销用户证书时,去掉注释符号<code>#</code>以启用,并根据上文修改为正确的文件路径.</p><p><strong>#cert-user-oid = 0.9.2342.19200300.100.1.1</strong><br>证书用户登录信息,默认被注释禁用.当启用证书登录时,去掉注释符号<code>#</code>以启用,并修改为<code>cert-user-oid = 2.5.4.3</code>即可在后台查看使用证书登录的用户信息.</p><p><strong>server-cert = /etc/ocserv/server-cert.pem</strong><br><strong>server-key = /etc/ocserv/server-key.pem</strong><br>此两个参数为当使用域名来连接 VPN 时,所需验证的域名证书的绝对路径.</p><h3>仅账号密码登录</h3><p><div class="tip inlineBlock info">保持默认模版参数为<strong>仅使用</strong>账号密码登录</div><pre><code>#auth = &quot;certificate&quot;
auth = &quot;|AUTH|&quot;
#ca-cert = /etc/ocserv/ca.pem
#crl = /etc/ocserv/crl.pem
#cert-user-oid = 0.9.2342.19200300.100.1.1</code></pre><h3>仅证书登录</h3><p><div class="tip inlineBlock info">启用证书登录,禁用账号密码登录.</div><p><code>取消注释</code> <strong>auth = "certificate"</strong> 启用证书登录<br><code>注释</code> <strong>auth = "|AUTH|"</strong> 禁用账号密码登录<br><code>取消注释</code>并修改 CA 根证书路径 <strong>ca-cert = /etc/ocserv/ssl/ca.cert.pem</strong><br><code>取消注释</code>并修改值 <strong>cert-user-oid = 2.5.4.3</strong></p><pre><code class="lang-bash">auth = &quot;certificate&quot;
#auth = &quot;|AUTH|&quot;
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3</code></pre><h3>证书及账号密码双重验证</h3><p><div class="tip inlineBlock warning">此方案需<strong>同时拥有</strong>证书和账号密码才可登录,且<strong>账号名</strong>需和<strong>证书中的用户名</strong>保持一致才能搭配使用登录.<strong>证书中的用户名</strong>取决于用户模版中的 <strong>cn</strong> 项的值. <strong>已经过实践测试</strong>.</div><p><code>取消注释</code> <strong>auth = "certificate"</strong> 启用证书登录<br><code>取消注释</code> <strong>auth = "|AUTH|"</strong> 启用账号密码登录<br><code>取消注释</code>并修改 CA 根证书路径 <strong>ca-cert = /etc/ocserv/ssl/ca.cert.pem</strong><br><code>取消注释</code>并修改值 <strong>cert-user-oid = 2.5.4.3</strong></p><pre><code class="lang-bash">auth = &quot;certificate&quot;
auth = &quot;|AUTH|&quot;
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3</code></pre><h3>证书及账号密码登录并存</h3><p><div class="tip inlineBlock success"><strong>推荐此方案</strong>,可为自己配置证书以方便安全登录,临时为其他用户分配账号密码登录,方便删除.</div><p><code>取消注释</code> <strong>auth = "certificate"</strong> 启用证书登录<br><code>取消注释</code> <strong>auth = "|AUTH|"</strong> 并修改为 <strong><code>enable-auth = &quot;|AUTH|&quot;</code></strong><br><code>取消注释</code>并修改 CA 根证书路径 <strong>ca-cert = /etc/ocserv/ssl/ca.cert.pem</strong><br><code>取消注释</code>并修改值 <strong>cert-user-oid = 2.5.4.3</strong></p><pre><code class="lang-bash">auth = &quot;certificate&quot;
enable-auth = &quot;|AUTH|&quot;
ca-cert = /etc/ocserv/ssl/ca.cert.pem
cert-user-oid = 2.5.4.3</code></pre><h3>启用吊销证书列表</h3><p><div class="tip inlineBlock error">注意如<strong>没有</strong>生成吊销列表文件,<strong>请不要启用此参数</strong>,否则会导致服务无法启动.<br><strong>如已</strong>生成吊销列表文件,并吊销用户,但未取消注释以启用参数,将无法让服务端读取列表禁止被吊销的用户证书登录.</div><p>根据实际情况<code>注释</code>或<code>取消注释</code>并修改吊销文件路径 <strong>crl = /etc/ocserv/ssl/revoked/crl.pem</strong></p><pre><code class="lang-bash">#crl = /etc/ocserv/crl.pem
# 如有吊销用户证书,需取消注释,并修改 crl.pem 路径.
crl = /etc/ocserv/ssl/revoked/crl.pem</code></pre><p><div class="tip inlineBlock success"><strong>至此服务端的配置已全部完成</strong></div><hr><h2>客户端安装配置</h2><h3>客户端下载</h3><p><div class="tip inlineBlock success">上篇文章推荐的 <strong>Cisco AnyConnect</strong> 下载地址:</div><p><span class="external-link"><a class="no-external-link" href="https://pan.ioiox.com/shared/FOAgYXjTiVHqnMUN" target="_blank"><i data-feather="external-link"></i>https://pan.ioiox.com/shared/FOAgYXjTiVHqnMUN</a></span></p><h3>Windows 客户端安装配置流程</h3><h4>导入用户证书</h4><p>双击打开<code>AnyConnect.p12</code>导入证书<br><img src="https://www.ioiox.com/usr/uploads/2020/03/3532667384.jpg" alt="" title="" style=""></p><p>下一步<br><img src="https://www.ioiox.com/usr/uploads/2020/03/3356989448.jpg" alt="" title="" style=""></p><p>输入生成<code>.p12</code>证书文件时创建的密码<br><img src="https://www.ioiox.com/usr/uploads/2020/03/1316616350.jpg" alt="" title="" style=""></p><p>自动选择证书存储<br><img src="https://www.ioiox.com/usr/uploads/2020/03/990474565.jpg" alt="" title="" style=""></p><p>完成导入<br><img src="https://www.ioiox.com/usr/uploads/2020/03/580146073.jpg" alt="" title="" style=""></p><p>确认安全警告</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/3105320925.jpg" alt="" title="" style=""></p><p>导入成功</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/997762026.jpg" alt="" title="" style=""></p><h4>安装配置 Windows 客户端</h4><p>常规安装 Windows 版客户端,打开软件,输入<code>DDNS域名</code>和<code>端口</code>连接即可无密码,无任何安全警告提示的登录 VPN.<br><img src="https://www.ioiox.com/usr/uploads/2020/03/210823392.jpg" alt="" title="" style=""></p><p>连接成功<br><img src="https://www.ioiox.com/usr/uploads/2020/03/2525914455.jpg" alt="" title="" style=""></p><h3>macOS 客户端安装配置流程</h3><p><div class="tip inlineBlock error">前方有坑,提前提醒.注意在<strong>首次</strong>登录时会提示 <strong>使用钥匙串中的私钥</strong> 一定要点 <strong>始终允许</strong> ,否则后续每次登录都会提示.</div><h4>导入用户证书</h4><p>双击打开<code>AnyConnect.p12</code>证书默认添加到<code>登录</code><br><img src="https://www.ioiox.com/usr/uploads/2020/03/1195682726.jpg" alt="" title="" style=""></p><p>输入生成<code>.p12</code>证书文件时创建的密码<br><img src="https://www.ioiox.com/usr/uploads/2020/03/1214060615.jpg" alt="11.jpg" title="11.jpg" style=""></p><p>添加成功<br><img src="https://www.ioiox.com/usr/uploads/2020/03/287667320.jpg" alt="12.jpg" title="12.jpg" style=""></p><h4>安装配置 macOS 客户端</h4><p>双击<code>AnyConnect.pkg</code>安装<br><img src="https://www.ioiox.com/usr/uploads/2020/03/3805443253.jpg" alt="13.jpg" title="13.jpg" style=""></p><p>仅需安装<code>VPN</code>,<code>取消勾选</code>其他组件.</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/2432058038.jpg" alt="" title="" style=""></p><p>提示启用系统扩展<br><img src="https://www.ioiox.com/usr/uploads/2020/03/2150910220.jpg" alt="" title="" style=""></p><p>偏好设置 - 安全性与隐私 - 解锁允许<br><img src="https://www.ioiox.com/usr/uploads/2020/03/17310152.jpg" alt="16.jpg" title="16.jpg" style=""></p><p>系统扩展成功启用,可忽略<code>重新启动电脑</code>.<br><img src="https://www.ioiox.com/usr/uploads/2020/03/424097225.jpg" alt="17.jpg" title="17.jpg" style=""></p><p>继续安装组件<br><img src="https://www.ioiox.com/usr/uploads/2020/03/2573585328.jpg" alt="" title="" style=""></p><p>安装成功<br><img src="https://www.ioiox.com/usr/uploads/2020/03/4172561883.jpg" alt="" title="" style=""></p><p>打开<code>AnyConnect</code>输入<code>DDNS域名</code>和<code>端口</code>连接<br><img src="https://www.ioiox.com/usr/uploads/2020/03/1638438452.jpg" alt="" title="" style=""></p><p><div class="tip inlineBlock error">输入 macOS 的登录密码,务必点击 <strong>始终允许</strong>.</div><p><img src="https://www.ioiox.com/usr/uploads/2020/03/2019265953.jpg" alt="" title="" style=""></p><p>连接成功</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/2041056676.jpg" alt="" title="" style=""></p><h3>iOS 客户端安装配置流程</h3><p><div class="tip inlineBlock warning">iOS 客户端的证书导入相对麻烦,需要使用 <strong>http/https</strong> 的 <strong>url</strong> 方式来导入.可以将证书临时存放到网站或者云存储上,待导入完成后在删除以确保安全.</div><h4>下载 iOS 客户端</h4><p><strong>AppStore</strong> 中搜索并下载名为<code>Cisco AnyConnect</code>的 APP<br><img src="https://www.ioiox.com/usr/uploads/2020/03/507048737.jpg" alt="" title="" style=""></p><h4>配置 iOS 客户端</h4><p>打开 APP - 主页 - 连接 - 添加 VPN 连接 - 输入<code>DDNS域名</code>和<code>端口</code>保存 - 允许添加 VPN 配置 - 输入 iPhone 密码</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/25980153.jpg" alt="" title="" style=""></p><h4>iOS 客户端导入证书</h4><p>打开 APP - 诊断 - 证书 - 导入用户证书 - 输入<code>AnyConnect.p12</code>的<code>url</code>链接 - 输入生成<code>.p12</code>证书文件时创建的密码</p><p><img src="https://www.ioiox.com/usr/uploads/2020/03/2586453579.jpg" alt="" title="" style=""></p><h4>连接成功</h4><p>点击启用连接成功<br><img src="https://www.ioiox.com/usr/uploads/2020/03/3157962973.jpg" alt="" title="" style=""></p><h3>其他客户端</h3><p>Android 和 Linux 由于没有相关设备和环境,请自行 Google 搜索相关教程.</p><hr><h2>结语</h2><p>至此已完成 OpenConnect VPN 的全部部署流程.如果本文对你有帮助,可以收藏到书签,后期博主在使用过程中发现更多的功能和技巧会再次更新到文章之中.同时感谢以下几篇文章让博主在实践中起到了重要参考作用:</p><p><div class="tip inlineBlock share"><span class="external-link"><a class="no-external-link" href="https://wwww.lvmoo.com/1097.love" target="_blank"><i data-feather="external-link"></i>Openconnect证书认证</a></span><br><span class="external-link"><a class="no-external-link" href="http://blog.kompaz.win/2017/01/18/CentOS%206.x%20ocserv%E5%AE%89%E8%A3%85/" target="_blank"><i data-feather="external-link"></i>CentOS 6.x ocserv 安装</a></span><br><span class="external-link"><a class="no-external-link" href="https://www.catspaw2012.com/docs/?p=420" target="_blank"><i data-feather="external-link"></i>Cisco AnyConnect软件下载及更新</a></span></div><hr class="content-copyright" style="margin-top:50px" /><div align="center"><p class="content-copyright"><div class="tip inlineBlock success">

本文为<a class="content-copyright" href="https://www.ioiox.com/stille.html"> Stille </a>原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.</p>
                    <p align="left">本文链接 <a class="content-copyright" href="https://www.ioiox.com/archives/90.html">https://www.ioiox.com/archives/90.html</a>
</div></p></div>

前言

本文大纲

自签证书

重点推荐

创建证书目录

自签 CA 根证书

自签用户证书

吊销证书

创建空的吊销文件

吊销用户证书

取消吊销

当前仅一个已吊销证书,将其恢复使用.

当前有多个已吊销证书,恢复使用其中一个.

编辑模版

参数介绍

仅账号密码登录

仅证书登录

证书及账号密码双重验证

证书及账号密码登录并存

启用吊销证书列表

客户端安装配置

客户端下载

Windows 客户端安装配置流程

导入用户证书

安装配置 Windows 客户端

macOS 客户端安装配置流程

导入用户证书

安装配置 macOS 客户端

iOS 客户端安装配置流程

下载 iOS 客户端

配置 iOS 客户端

iOS 客户端导入证书

连接成功

其他客户端

结语

19 条评论

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

OpenWRT 路由器 OpenConnect VPN 详细图文教程 - 证书配置篇

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款