是否有任何文档或资源描述如何生成和托管 OpenVPN 客户端导入的配置文件?理想情况下,我的用户不必单独获取 .ovpn + 证书的 .zip 文件,将其解压缩到正确的目录,调整他们的 .ovpn 等。
Zor*_*che 44
显然从 OpenVPN 2.1 开始支持内联配置。允许您在单个配置文件中找到您的证书和密钥。但是直到最近的 2.3 版本才添加有关如何创建此配置文件的文档。
有关更多信息,请参阅OpenVPN 手册页的INLINE FILE SUPPORT部分。
client
proto udp
remote openvpnserver.example.com
port 1194
dev tun
nobind
key-direction 1
<ca>
-----BEGIN CERTIFICATE-----
# insert base64 blob from ca.crt
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
# insert base64 blob from client1.crt
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
# insert base64 blob from client1.key
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
# insert ta.key
-----END OpenVPN Static key V1-----
</tls-auth>
配置文件的文档与命令行选项的文档相同:
OpenVPN 允许将任何选项放置在命令行或配置文件中。尽管所有命令行选项都以双前导破折号(“--”)开头,但可以在将选项放置在配置文件中时删除此前缀。
从 OpenVPN 2.3手册页(从 2.1rc-something 开始支持):
OpenVPN 允许在主要配置中包含
--ca, --cert, --dh, --extra-certs, --key, --pkcs12, --secret和--tls-auth选项的文件。每个内联文件都以 line 开头,以 line
<option>结尾</option>。这是内联文件使用的示例
Run Code Online (Sandbox Code Playgroud)<cert> -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- </cert>将内联文件功能与
--pkcs12内联文件一起使用时,必须采用 base64 编码。将 .p12 文件编码为 base64 可以通过运行 OpenSSL 来完成openssl base64 -in input.p12
另请注意该key-direction选项:
--key-direction
为--tls-auth和--secret选项指定可选方向参数的替代方法 。使用内联文件时很有用(请参阅内联文件部分)。
小智 5
这已经使用 OpenVPN 2.3.4 Debian 8.9 服务器和 Win7 客户端进行了测试。
步骤 1. 创建一个包含默认值的文件(我称之为 inline_client.conf),所有设置必须与您的 server.conf 值匹配
client
dev tun
proto udp
remote yourserver.xyz 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3
;mute 20
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
步骤2.创建以下脚本,根据需要调整路径并
chmod ug+x MakeInline.sh
#!/bin/bash
# Default Variable Declarations
DEFAULT="inline_client.conf"
FILEEXT=".ovpn"
CRT=".crt"
KEY=".key"
CA="ca.crt"
TA="ta.key"
kPath="./keys/"
#Ask for a Client name
echo "Please enter an existing Client Name:"
read NAME
echo "Please enter an Name for the output file"
read ovpnName
#1st Verify that client's Public Key Exists
if [ ! -f $kPath$NAME$CRT ]; then
echo "[ERROR]: Client Public Key Certificate not found: $kPath$NAME$CRT"
exit
fi
echo "Client's cert found: $kPath$NAME$CRT"
#Then, verify that there is a private key for that client
if [ ! -f $kPath$NAME$KEY ]; then
echo "[ERROR]: Client 3des Private Key not found: $kPath$NAME$KEY"
exit
fi
echo "Client's Private Key found: $kPath$NAME$KEY"
#Confirm the CA public key exists
if [ ! -f $kPath$CA ]; then
echo "[ERROR]: CA Public Key not found: $kPath$CA"
exit
fi
echo "CA public Key found: $kPath$CA"
#Confirm the tls-auth ta key file exists
if [ ! -f $kPath$TA ]; then
echo "[ERROR]: tls-auth Key not found: $kPath$TA"
exit
fi
echo "tls-auth Private Key found: $kPath$TA"
#Ready to make a new .opvn file - Start by populating with the
cat $DEFAULT > $ovpnName$FILEEXT
#Now, append the CA Public Cert
echo "<ca>" >> $ovpnName$FILEEXT
cat $kPath$CA | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT
echo "</ca>" >> $ovpnName$FILEEXT
#Next append the client Public Cert
echo "<cert>" >> $ovpnName$FILEEXT
cat $kPath$NAME$CRT | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >> $ovpnName$FILEEXT
echo "</cert>" >> $ovpnName$FILEEXT
#Then, append the client Private Key
echo "<key>" >> $ovpnName$FILEEXT
cat $kPath$NAME$KEY >> $ovpnName$FILEEXT
echo "</key>" >> $ovpnName$FILEEXT
#Finally, append the TA Private Key
echo "<tls-auth>" >> $ovpnName$FILEEXT
cat $kPath$TA >> $ovpnName$FILEEXT
echo "</tls-auth>" >> $ovpnName$FILEEXT
echo "Done! $ovpnName$FILEEXT Successfully Created."
#Script written by Eric Jodoin
#Update by Eric Maasdorp 2017-12-16
步骤 3. 执行MakeInline.sh它将询问您需要已经创建的客户端的名称build-key or build-key-pass。它将询问 ovpn 文件的名称。我的标准是 ServerToConnectTo.ClientName 它将产生
ServerToConnectTo.ClientName.ovpn
注意:如果您使用build-key而不是build-key-pass,那么任何拥有 的人都*.ovpn无需密码即可访问您的服务器!
| 归档时间: |
|
| 查看次数: |
186839 次 |
| 最近记录: |