centos认证 centos镜像下载

Docker实战CentOS7下基于密码认证的OpenVPN搭建与使用

搭建基于密码认证的OpenVPN服务端与客户端于 CentOS7 Docker环境，实现安全的远程访问。

服务端部署在 centos7_vpn_server1中，首先，确保容器已安装 OpenVPN及 easy-rsa。然后，配置证书生成系统，此步骤生成服务器证书与密钥。接着，设置用户管理，定义访问权限，包括用户名、密码等敏感信息。

创建服务端配置文件，此文件详细指定 OpenVPN服务端参数，包括服务器地址、端口、用户认证方式等。最后，启动 OpenVPN服务端，确保其稳定运行。

客户端部署于 centos7_vpn_client1，首先，确保容器同样安装 OpenVPN。配置客户端时，需引用已生成的服务器证书与私钥，输入正确的用户名与密码。之后，启动 OpenVPN客户端，通过与服务器的连接，实现远程访问。

在客户端使用过程中，需定期检查连接状态与性能，确保数据传输的稳定性和安全性。若需调整配置，如增加用户、修改权限等，只需在服务端执行相应的操作，无需在客户端进行，简化管理流程。

总结而言，在 CentOS7 Docker环境中搭建基于密码认证的 OpenVPN，不仅提供了一种高效、安全的远程访问方式，还简化了网络管理与维护工作，适用于各类需要远程访问需求的场景。

linux和centos的区别

linux的一个著名版本是red hat，本来是有个人版本和企业版本，后来个人版本不再开发，改为fedora。而企业版本呢是要收费的。centOS就是red hat企业版本的重写，不要收费的。

所以说centOS是linux操作系统的一个版本。

1、完全可以把CentOS理解为RedHat AS系列!它完全就是对RedHat AS进行改进后发布的!各种操作、使用和RedHat没有区别!

2、CentOS完全免费，不存在像RedHat AS系列那样需要序列号的问题。

3、CentOS独有的yum命令支持在线升级，可以即时更新系统，不像RedHat那样需要花钱购买支持服务!

4、CentOS修正了许多RedHat AS的BUG!

5、CentOS版本说明：

CentOS4.0等同于RedHat AS4

CentOS4.1等同于RedHat AS4 U1

CentOS4.2等同于RedHat AS4 U2

CentOS4.3等同于RedHat AS4 U3

CentOS4.4等同于RedHat AS4 U4

RedHat在发行的时候，有两种方式：二进制的发行方式以及源代码的发行方式。无论是哪一种发行方式，你都可以免费获得(例如从网上下载)，并再次发布。但如果你使用了他们的在线升级(包括补丁)或咨询服务，就必须要付费。

RedHat一直都提供源代码的发行方式，CentOS就是将RedHat发行的源代码重新编译一次，形成一个可使用的二进制版本。由于Linux的源代码是GNU，所以从获得RedHat的源代码到编译成新的二进制，都是合法。只是RedHat是商标，所以必须在新的发行版里将RedHat的商标去掉。

CentOS下生成自签名的证书的方法详解

1.生成自签名的证书

通常要配置https的服务器，都需要一个由正式的CA机构认证的X509证书。当客户端连接https服务器时，会通过CA的共钥来检查这个证书的正确性。但要获得CA的证书是一件很麻烦的事情，而且还要花费一定的费用。因此通常一些小的机构会是使用自签名的证书。也就是自己做CA，给自己的服务器证书签名。

这个过程有两个主要的步骤，首先是生成自己的CA证书，然后再生成各个服务器的证书并为它们签名。我是用OpenSSL来生成自签名证书的。

第一步是制作CA的证书：

opensslgenrsa-des3-outmy-ca.key2048

opensslreq-new-x509-days3650-keymy-ca.key-outmy-ca.crt

这会生成my-ca.key和my-ca.crt文件，前者存放着使用my-ca.crt制作签名时必须的密钥，应当妥善保管。而后者是可以公开的。上面的命令为my-ca.key设定的有效期为10年。

用命令

opensslx509-inmy-ca.crt-text-noout

可以查看my-ca.crt文件的内容。

有了CA证书之后，就可以为自己的服务器生成证书了：

opensslgenrsa-des3-outmars-server.key1024

opensslreq-new-keymars-server.key-outmars-server.csr

opensslx509-req-inmars-server.csr-outmars-server.crt-sha1-CAmy-ca.crt-CAkeymy-ca.key-CAcreateserial-days3650

前两个命令会生成key、csr文件，最后一个命令则通过my-ca.crt为mars-server.csr制作了x509的签名证书。

需要注意的是，在执行上述第二个命令时，CommonName选项应当输入的是服务器的域名，否则在用户通过https协议访问时每次都会有额外的提示信息。

用命令

opensslx509-inmars-server.crt-text-noout

可以查看mars-server.crt文件的内容。

2.配置Apache服务器

首先，创建/etc/apache2/ssl目录，将刚刚制作的my-ca.crt、mars-server.key和mars-server.crt文件拷贝到这个目录中。

接着执行命令

a2emodssl

激活Apache的SSL模块，然后在/etc/apache2/sites-enable/中添加虚拟主机，这个过程与添加普通的虚拟主机类似，不同点在于该主机的端口应为443。配置如下：

NameVirtualHost*:443

ServerNamelocalhost

DocumentRoot/var/www

SSLEngineOn

SSLCipherSuiteHIGH:MEDIUM

SSLProtocolall-SSLv2

SSLCertificateFile/etc/apache2/ssl/mars-server.crt

SSLCertificateKeyFile/etc/apache2/ssl/mars-server.key

SSLCACertificateFile/etc/apache2/ssl/my-ca.crt

var/www>

Orderdeny,allow

Allowfromlocalhost

ServerNamelocalhost

DocumentRoot/var/www

var/www>Orderdeny,allow

Allowfromlocalhost

以上配置保证了用户在访问443和80端口时可以看到相同的内容，而仅仅是使用的协议不同。修改好配置后，便可以重启Apache服务器，这时需要输入mars-server.key的密码。用浏览器访问

这时应当看到一个弹出对话框，让你确认是否信任该站点的证书，选择信任后，便可以查看该站点的内容了。

由于大多数Apache服务器都是在服务器启动时自动启动，为了避免在启动Apache时输入密码，可以用以下命令生成不加密的mars-server.key文件：

opensslrsa-inmars-server.key-outmars-server.key.insecure

用新生成的mars-server.key.insecure代替原有的key文件即可。