Anyconnect(ocserv)属于ssl vpn的范畴,其优点是利用ssl证书对数据通道进行加密,以最大程度提升安全性。我们可以使用自签ssl证书也可以使用公共CA机构签发的ssl证书。
签发自签名证书
自签名证书安全性更高,但是并不被公共服务器所信赖,也就是俗称的不会出现小绿锁。
certtool工具自签名
#创建临时目录 mkdir -p /tmp/ssl #进入临时目录 cd /tmp/ssl #创建CA私钥 certtool --generate-privkey --outfile ca-key.pem #创建CA私钥 #创建CA模板 cat << _EOF_ >ca.tmpl cn = "自然博客" organization = "www.wanvi.net" serial = 1 expiration_days = 3650 ca signing_key cert_signing_key crl_signing_key _EOF_ #签发CA证书 certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem #创建服务器私钥 certtool --generate-privkey --outfile server-key.pem #创建服务器证书模板 cat << _EOF_ >server.tmpl cn = "自然博客" organization = "www.wanvi.net" serial = 2 expiration_days = 3650 signing_key encryption_key #only if the generated key is an RSA one tls_www_server _EOF_ #创建服务器证书 certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem #部署自签名证书 cp server-cert.pem /etc/pki/ocserv/public/server.crt cp server-key.pem /etc/pki/ocserv/private/server.key
中国数字证书在线自签名证书
先使用“CSR文件在线生成工具”生成一个CSR文件。
进入:https://www.chinassl.net/ssltools/generator-csr.html
保存生成的csr信息和key信息,如果担心忘记可以勾选发送生成的csr文件到上面的邮箱”。
然后复制csr信息,使用“自签名免费SSL证书”生成工具签发ssl证书。
进入:https://www.chinassl.net/ssltools/free-ssl.html
注意事项
使用自签名证书会提示安全问题,需要在客户端设置忽略
申请公共信任的ssl证书
免费单域名证书可以在阿里云、又拍云、freessl等站点免费申请。
阿里云申请地址:
https://common-buy.aliyun.com/?spm=5176.7968328.1266638..7ff11232o3ofrs&commodityCode=cas&aly_as=FmxlOduKj#/buy
全程引导式操作,小白也能快速上手。
部署ssl证书
将私钥和证书上传到/etc/ocserv/目录下,并重命名为server.crt和server.key
编辑/etc/ocserv/ocserv.conf文件,修改如下两个参数
servercert=/etc/ocserv/server.crt serverkey=/etc/ocserv/server.key
重启ocserv服务后生效
systemctl restart ocserv
自然博客
快来关注一下,一个linux运维爱好者的个人博客!
2020年4月13日 14:55 1F
给大佬递帽٩(๑❛ᴗ❛๑)۶