- A+
所属分类:网络加速
为ocserv配置证书登陆
- 确保已经安装ocserv.
- 建立相关证书配置文件夹
- mkdir -p /etc/ocserv/template
- 建立ca证书模板
- cat >/etc/ocserv/template/ca.tmp<<EOF
- cn = "Vicer CA"
- organization = "Vicer"
- serial = 1
- expiration_days = 1825
- ca
- signing_key
- cert_signing_key
- crl_signing_key
- EOF
- 生成ca证书的密钥
- openssl genrsa -out /etc/ocserv/template/ca.key.pem 2048
- 生成ca证书
- certtool --generate-self-signed --hash SHA256 --load-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/ca.tmp --outfile /etc/ocserv/template/ca.cert.pem
- 建立user证书模板
- cat >/etc/ocserv/template/user.tmp<<EOF
- cn = "Vicer"
- unit = "Vicer"
- expiration_days = 1825
- signing_key
- tls_www_client
- EOF
- 生成user证书的密钥
- openssl genrsa -out /etc/ocserv/template/user.key.pem 2048
- 生成user证书
- certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/template/user.key.pem --load-ca-certificate /etc/ocserv/template/ca.cert.pem --load-ca-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/user.tmp --outfile /etc/ocserv/template/user.cert.pem
- 生成Diffie-Hellman密钥
- certtool --generate-dh-params --outfile /etc/ocserv/dh.pem
- 补全证书链
- cat /etc/ocserv/template/ca.cert.pem >>/etc/ocserv/template/user.cert.pem
- 生成.p12证书文件
- openssl pkcs12 -export -inkey /etc/ocserv/template/user.key.pem -in /etc/ocserv/template/user.cert.pem -name "Vicer" -certfile /etc/ocserv/template/ca.cert.pem -caname "Vicer CA" -out /etc/ocserv/AnyConnect.p12 -passout pass:
- 更改为证书登录方式
- [ -f /etc/ocserv/ocserv.conf ] && sed -i 's/^auth =/#auth =/g;s/^#auth = "certificate".*/auth = "certificate"/g' /etc/ocserv/ocserv.conf
导入证书
- Windows
下载AnyConnect.p12文件,双击,选择导入到本地计算机.
之后一直下一步,不用输入任何密码(如果没设置密码). - iPhone
只能用URL的方式导入,所以需要配置好HTTP服务器(如:nginx.).
首先需要建立一个链接.
点击诊断,证书,导入用户证书,粘贴AnyConnect.p12证书文件的地址. - WindowsPhone
下载AnyConnect.p12文件,点安装.
之后一直下一步,不用输入任何密码(如果没设置密码). - Android
下载AnyConnect.p12文件到手机中.
在OpenConnect中配置链接,用户认证的地方选择AnyConnect.p12文件即可.