windows 2008 R2系統安裝openv p n詳細配置

***直譯就是虛擬專用通道，是提供給企業之間或者個人與公司之間安全數據傳輸的隧道，Open***無疑是Linux下開源***的先鋒，提供了良好的性能和友好的用戶GUI. 

它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協議函數庫。

目前Open***能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Microsoft Windows以及Android和iOS上運行，并包含了許多安全性的功能。它并不是一個基于Web的***軟件，也不與IPsec及其他***軟件包兼容。

open***的下載：http://open***.ustc.edu.cn/

服務端安裝

建議安裝到c盤

在進行操作之前，首先進行初始化工作：
(1)修改C:\ProgramFiles\OPEN***\easy-rsa\vars.bat.sample的以下部分
set HOME=%ProgramFiles%\Open***\easy-rsa

set KEY_COUNTRY=US

set KEY_PROVINCE=CA

set KEY_CITY=SanFrancisco

set KEY_ORG=FortFunston

set KEY_EMAIL=mail@domain.com

請根據自身情況修改,也可以不修改，改為

set HOME=C:\Program Files\OPEN***\easy-rsa

set KEY_COUNTRY=CN #(國家)set KEY_PROVINCE=GuangDong #(省份)

set KEY_CITY=ShenZhen #(城市)

set KEY_ORG=oovc.com #(組織)

set KEY_EMAIL=admin@oovc.com #(郵件地址)

上面#開始的是注釋，請不要寫到文件中。
打開命令提示符：

開始-->運行...-->鍵入cmd，回車，進入命令提示符

或者開始-->程序-->附件-->命令提示符

進入C:\ProgramFiles\open***\easy-rsa目錄下：
命令如下：
（1）cd C:\ProgramFiles\open***\easy-rsa

init-config

vars

clean-all 

上面是初始化工作，以后，在進行證書制作工作時，仍舊需要進行初始化，但只需要進入open***\easy-rsa目錄，運行vars就可以了，不需要上面那些步驟了。

（2）下面開始證書的制作：
生成根證書:
build-ca

生成迪菲·赫爾曼密鑰:

build-dh

生成服務端密鑰:
build-key-server server



生成客戶端密鑰
build-key client
build-key client1//可以繼續配置第二個***客戶端密鑰

//生成的密鑰存放于C:\ProgramFiles\open***\easy\rsa\keys目錄下

接下來開始配置服務器和客戶端:
(3)將生成的ca.crt,dh2024.pem,server.crt,server.key復制到C:\ProgramFiles\OPEN***\KEY目錄下,這四個文件是***服務端運行所需要的文件。
(4)ca.crt,client.crt,client.key是***客戶端所需要的文件，復制到客戶端C:\ProgramFiles\OPEN***\KEY目錄下
(5)在C:\ProgramFiles\Open***\config目錄下創建server.o***:
服務器端文件示例：(server.o***)
local 192.168.3.1 #建立***的IP

port 443 #端口號，根據需要，自行修改，如果是用http代理連接，請不要修改

proto tcp-server #通過TCP協議連接

dev tap #win下必須設為tap

server 192.168.0.0 255.255.255.0 # 虛擬局域網網段設置，請根據需要自行修改，不支持和拔號網卡位于同一網段

push "route 0.0.0.0 0.0.0.0" #表示client通過*** SERVER上網

keepalive 20 180

ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt" #CA證書存放位置，請根據實際情況自行修改

cert "C:\\Program Files\\OPEN***\\KEY\\server.crt" #服務器證書存放位置，請根據實際情況自行修改

key "C:\\Program Files\\OPEN***\\KEY\\server.key" #服務器密鑰存放位置，請根據實際情況自行修改

dh "C:\\Program Files\\OPEN***\\KEY\\dh2024.pem" #dh2024.pem存放位置，請根據實際情況自行修改

push "redirect-gateway def1"

push "dhcp-option DNS 219.141.140.10" #DNS，請根據實際情況自行修改

mode server

tls-server
status "C:\\Program Files\\OPEN***\\log\\open***-status.log" #LOG記錄文件存放位置，請根據實際情況自行修改

comp-lzo

verb 4
(6)客戶端設置：在客戶端安裝完成之后，需要將 ca.crt client.crtclient.key 這三個文件拷貝到C:\ProgramFiles\open***\key目錄下，這三個文件由服務端生成，所以，連接誰的服務器，就需要跟誰索取這三個文件

然后，編輯一個 client.o***的配置文件存放到C:\ProgramFiles\open***\config目錄下，客戶端就可以進行連接了。

客戶端文件示例：(client.o***)
client

dev tap #windows下面用tap,LINUX下用tun

proto tcp-client

remote 192.168.3.1 443 #***服務器的域名或IP 端口

resolv-retry infinite

nobind

#http-proxy 192.168.1.1 80 #這里填入你的代理服務器地址和端口

mute-replay-warnings

ca "C:\\Program Files\\OPEN***\\KEY\\ca.crt"

cert "C:\\Program Files\\OPEN***\\KEY\\client.crt" #這里改成每個客戶端相應的證書

key "C:\\Program Files\\OPEN***\\KEY\\client.key" #這里改成每個客戶端相應的密鑰

comp-lzo

verb 4

status open***-status.log

(7)其它設置:
上面的配置拔號成功后，*** SERVER的IP:192.168.0.1

*** client的IP:192.168.0.2

ping 192.168.0.1 //相互之間應能ping通

然后設置*** SERVER上的”internet連接共享“來實現clinet通過*** SERVER上網:

然后就可以正常使用證書***訪問了

吊銷證書辦法：

執行命令進入open***的安裝目錄，在easy-rsa目錄下。使用revoke-full命令來注銷其證書。

先把一位同事證書文件放到easy-rsa/keys下，然后執行

revoke-full client1

client1為證書名稱，這條命令執行完成之后， 會在 keys 目錄下面， 生成一個 crl.pem 文件，這個文

件中包含了吊銷證書的名單。

接著再次執行

revoke-full client2

這條命令執行完成之后， 會在 keys 目錄下面， 生成一個新的crl.pem 文件覆蓋舊的。

把此crl.pem文件放到相應的配置目錄config下，然后在配置文件加入如下參數，重新啟動open***服務器

即可。

crl-verify crl.pem

注：如以后需要再注銷其他證書，可繼續執行revoke-full client3，生成新的crl.pem文件替換配置目錄

下的文件，重新啟動open***服務即可。