如何在VPS上滚动自己的OpenVPN服务器-第2部分

第2部分-高级

在这个由两部分组成的指南的第1部分中,有关在CentO6 VPS服务器上设置OpenVPN的内容,我们探讨了为什么您可能要这样做,以及这样做的利弊。我们还提供了在VPS上安装OpenVPN Access Server软件的分步说明,以及如何使用OpenVPN Connect客户端创建简单的VPN连接.


在第2部分(高级)中,我们将探讨如何通过更改使用的密码来提高安全性,如何构建自签名的OpenVPN CA证书,如何创建OpenVPN .ovpn配置文件,以便可以使用任何OpenVPN客户端连接到您的服务器,以及如何添加其他用户.

对于这些教程,我们选择使用与OpenVPN Server不同的OpenVPN Access Server软件。 OpenVPN Access Server旨在比OpenVPN Server更加用户友好,并且允许您使用简单的GUI执行许多其他复杂的任务。唯一真正的缺点是必须为两个以上的用户购买许可证(每个客户端连接的起价为每年$ 9.60)。但是,由于本教程针对家庭用户构建个人DIY远程OpenVPN服务器,因此我们认为这不是主要缺点.

更改加密密码

这很容易!默认情况下,OpenVPN使用128位Blowfish密码块链接(BF-CBC)加密。尽管对于大多数目的来说已经绰绰有余,但它的弱点甚至导致Blowfish密码的创建者Bruce Schneier推荐用户选择一种更安全的替代方法.

正如我们之前讨论的那样,我们希望看到商业VPN提供商摆脱NIST创建和/或认证的加密算法,但不幸的是,此时OpenVPN不支持我们最喜欢的选项-Twofish和Threefish。相反,大多数商业提供商已改为使用256位AES作为标准,因为这是美国政府用于加密敏感信息的密码.

1.打开“ OpenVPN访问服务器”页面(如本指南第1部分所述,转到您的管理员UI地址),然后转到“高级VPN页面”.

高级设置

2.向下滚动到“其他OpenVPN配置指令(高级)”,然后将以下行添加到“服务器配置指令”和“客户端配置指令”框中:

密码

例如. 密码AES-256-CBC

进阶VPN设定

点击“保存更改”.

然后在提示时“更新正在运行的服务器”.

更新服务器

OpenVPN支持以下密码:

DES-CBC(数据加密标准-56位密钥,现在认为不安全)
DES-EDE3-CBC(也是Triple DES或3DES-增加DES的密钥大小)
BF-CBC(河豚)
AES-128-CBC(高级加密标准)
AES-192-CBC
AES-256-CBC
茶花128-CBC(山茶花)
茶花192-CBC
山茶花256-CBC

如何建立OpenVPN凭证

OpenVPN Connect通过为您创建有效的CA证书使生活变得轻松,因此您无需自己执行此操作。但是,如果您要创建自己的自签名证书,请按照以下步骤操作(也可以按照步骤1和2创建证书签名请求(CSR),该请求可以提交给商业证书颁发机构(CA)如果您愿意,可以签名。)

1.从第1部分中安装OpenVPN Access Server开始,所需的SSL库应该已经安装在您的系统上,但是您应该通过输入以下命令进行检查:

openssl版本

csr1

如果没有,则可以通过输入以下内容来输入:

apt-get install openssl (然后再次检查它们是否如上所述安装).

2.现在该构建证书了。我们将首先构建一个证书签名请求(CSR)。可以将其提交给商业证书颁发机构(CA)进行签名,但是在本教程中,我们将其转换为自签名的CA证书.

输入:

openssl req -out server.csr -new -newkey rsa:2048 -nodes -keyout server.key

答复将是一些问题:

国家名称(2个字母代码):(此处提供字母代码)
州或普罗旺斯名称:
市:
单位名称:
组织名称单位:(例如,IT支持)
通用名称:(您的VPS的域名或DNS名称的确切名称)
电子邮件地址:

加上“额外”属性 -

质询密码:
可选的公司名称:

csr3

如果您打算将CSR提交给商业证书颁发机构(CA),则应填写这些字段,但是出于本教程的目的,您可以单击每个字段将字段留空.

3.现在,您的根目录中应该有两个文件,分别是server.csr和server.key。我们将使用它们来创建自签名的CA证书。类型:

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

csr4

现在,我们应该有3个文件:Server.key,Server.crt和Server.csr(输入 目录 查看当前目录的内容).

安装新的CA证书

4.使用ftp客户端(我们使用FOSS WinSCP)将这些文件下载到您的PC,然后通过转到“ Web服务器”页面(在页面左侧“配置”下)将它们安装在OpenVPN Access Server中。到以下文件:

  • CA套件:server.crt
  • 证书:server.crt
  • 私钥:server.key

安装CA1

5.点击“验证”,然后滚动到页面顶部-“验证结果”应显示“自签名证书”,并显示您在上述第2步中输入的信息。证书有效期为一年.

安装CA2

6.现在,向下滚动到网页底部,然后点击“保存”,然后在“更改设置”对话框中点击“更新正在运行的服务器”.

更新服务器

现在,您已使用自签名CA证书验证了OpenVPN服务器。!

创建一个.ovpn文件

使用OpenVPN Access Server的一大优点是它为您完成了很多繁重的工作,并且它最有用的功能之一是自动生成.ovpn OpenVPN配置文件,以便任何OpenVPN客户端都可以连接到您的服务器.
1.登录到您的客户端UI地址(不是Admin UI)。当您看到自动下载屏幕(如下)时,请刷新浏览器.

openvpn客户端登录2

2.现在将为您提供下载选项的选择。选择“您自己(用户锁定的个人资料)”或“您自己(自动登录的个人资料)”(如果可用-您需要进行设置-请参见“在下面添加其他用户”).

下载ovpn文件

3.像往常一样将下载的.ovpn文件导入您的OpenVPN客户端(对于标准Widows OpenVPN客户端,只需将文件复制到OpenVPN的“ config”文件夹中)即可。 .ovpn可以重命名为您喜欢的名称,以帮助识别它。然后照常登录.

新用户自动登录

添加其他用户

1.可以通过“用户权限”使用“ OpenVPN访问服务器管理”面板添加其他用户。

用户权限

如果您打算仅从安全位置访问OpenVPN服务器,则可以通过选择“允许自动登录”来简化登录

免费的基本OpenVPN Access Server许可证最多允许2个客户端连接。当我们设置VPN Server时,添加第二个用户的选项已经可用。但是,如果未显示此选项(或者您已购买组许可证并希望添加更多用户),则必须通过在PuTTY中输入“#adduser”命令来手动添加它们(达到许可证限制)(或终端等)。请参阅本文以获取更多详细信息.

添加新用户后,系统将提示您“更新正在运行的服务器”(这样做).

2.使用新的用户名和密码登录到客户端UI地址,然后按照上面“创建.ovpn文件”中概述的步骤进行操作.

有关更易于使用的更多商业VPN列表,请查看我们的最佳VPN指南.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me