HQY
为ocserv配置证书登陆确保已经安装ocserv. 建立相关证书配置文件夹
mkdir -p /etc/ocserv/template 建立ca证书模板
cat >/etc/ocserv/template/ca.tmpl<<eof cn="Vicer CA" organization="Vicer" serial="1" expiration_days="3650" ca="" signing_key="" cert_signing_key="" crl_signing_key="" eof=""
生成ca证书的密钥
openssl genrsa -out /etc/ocserv/template/ca.key.pem 2048 生成ca证书
certtool --generate-self-signed --hash SHA256 --load-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/ca.tmp --outfile /etc/ocserv/template/ca-cert.pem 建立user证书模板
cat >/etc/ocserv/template/user.tmpl<<eof cn="Vicer" unit="Vicer" expiration_days="3650" signing_key="" tls_www_client="" eof=""
生成user证书的密钥
openssl genrsa -out /etc/ocserv/template/user-key.pem 2048 生成user证书
certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/template/user.key.pem --load-ca-certificate /etc/ocserv/template/ca.cert.pem --load-ca-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/user.tmp --outfile /etc/ocserv/template/user-cert.pem 生成Diffie-Hellman密钥
certtool --generate-dh-params --outfile /etc/ocserv/dh.pem 补全证书链
cat /etc/ocserv/template/ca.cert.pem >>/etc/ocserv/template/user-cert.pem 生成.p12证书文件
openssl pkcs12 -export -inkey /etc/ocserv/template/user.key.pem -in /etc/ocserv/template/user-cert.pem -name "Vicer" -certfile /etc/ocserv/template/ca-cert.pem -caname "Vicer CA" -out /etc/ocserv/AnyConnect.p12 -passout pass:
导入证书
Windows 下载AnyConnect.p12文件,双击,选择导入到本地计算机. 之后一直下一步,不用输入任何密码(如果没设置密码). iPhone 只能用URL的方式导入,所以需要配置好HTTP服务器(如:nginx.). 首先需要建立一个链接. 点击诊断,证书,导入用户证书,粘贴AnyConnect.p12证书文件的地址. WindowsPhone 下载AnyConnect.p12文件,点安装. 之后一直下一步,不用输入任何密码(如果没设置密码). Android 下载AnyConnect.p12文件到手机中. 在OpenConnect中配置链接,用户认证的地方选择AnyConnect.p12文件即可. HQY
|