我在ec2上build立了一个openvpn服务器,按照这里的指示: http : //alestic.com/2009/05/openvpn-ec2
这一切都很好。
我想改变这个使用不对称的密钥,并允许多个客户端连接,但我发现openvpn文档难以得到遵循。 任何人都知道一个很好的教程,可以弥补我的差距?
是否有可能设置openvpn使用人们现有的SSH密钥?
我不认为你会find一种方法来使用现有的SSH密钥与OpenVPN。 OpenVPN需要X.509证书来操作,我不相信OpenSSH会使用x.509证书而不用修补(参见http://roumenpetrov.info/openssh/ )。
了解OpenVPN和不对称encryption的关键是了解PKI如何工作。 OpenVPN服务器configuration有自己的证书,并且只有在它们由签署了自己的证书的相同CA签名的情况下才接受客户端证书。
在官方HOWTO( http://www.openvpn.net/index.php/open-source/documentation/howto.html )中,通过创buildCA公钥/私钥对和证书(“主CA”如文档所指),然后为服务器和3个客户端创build证书。 您不必在OpenVPN服务器上执行此操作(实际上,不要这么做)。
HOWTO在OpenVPN发行版中使用了一些脚本来操作OpenSSL命令行工具(“easy-rsa”脚本)。 如果您可以花一些时间来熟悉OpenSSL命令行工具,那么您将拥有更好的运气。 为了玩耍,easy-rsa脚本和HOWTO都很好。
为了获得最佳的安全性,您需要在OpenVPN服务器和每个客户端上的离线计算机上创build一个CA(即没有或者最小的networking连接)和证书请求(公钥/私钥对)。 您将通过某种方式将证书请求发送给CA,在CA处签署请求,然后将生成的证书发回给各种计算机。 这使得私钥永远不会通过线路,并保持CA安全。
看看在Ubuntu的howto: https : //help.ubuntu.com/community/OpenVPN它很容易理解和工作很好! 对于多个客户端,只需为每个用户创build一个新的客户端configuration和密钥,并使用用户名replaceconfiguration和密钥名称。
看看这个HOWTO: http : //www.openvpn.net/index.php/open-source/documentation/howto.html#pki – build立你自己的证书颁发机构(CA),并为OpenVPN生成证书和密钥服务器和多个客户端
这可能是你想要的…当你完成它,你必须在你的服务器configuration像这样(其中):
ca ca.crt证书server.crt密钥server.key