在CentOS 7上部署具有证书验证的AnyConnect兼容VPN服务器

• 先决条件
• 服务器端软件安装
• 证书生成和配置
• 配置服务器
• 测试时间！

AnyConnect是思科开发的一种远程访问解决方案。AnyConnect以其可移植性和稳定性而著称，尤其是其DTLS功能，已被许多公司使用。我们将使用ocserv与协议兼容的开源版本。

我们还将部署证书验证。服务器将通过检查客户端的证书是否由配置的CA颁发来识别客户端。这大大简化了客户端上的配置，因为我们只需要在客户端上导入证书（大多数情况下是pkcs12文件（.pfx或.p12）），并且不需要密码。由于没有密码在Internet上传输，因此这也更加安全。

开始吧。

先决条件

• 启用IPv6的新创建的CentOS 7服务器
• 可以使用的计算机（可以是服务器本身；尽管已弃用（请参见下文）），请参见注释1
• 一些安装了AnyConnect（或OpenConnect）客户端软件的客户端，请参见注释2

笔记：

1. 尽管可以（并且很方便）在服务器上进行所有操作，但是部署过程包括生成用于签名的私钥，并且由于安全方面的考虑，该过程应在您自己的计算机上完成。

2. 由于许可问题，我将不提供下载客户端软件的链接。不过，为您的客户找到它们非常容易。AnyConnect是分别位于主要移动平台（iOS，Android，BlackBerry OS（v10或更高版本），UWP）上的App Store中的一个应用程序，只需简单的搜索即可将它们带到您的手中。对于PC平台，有些Google搜索会为您提供合适的软件。

服务器端软件安装

Vultr的CentOS 7机器已配置有EPEL存储库。我们只需安装ocserv有yum：

yum update
yum install ocserv

我们需要服务器证书才能正常工作。如果您拥有域名，那么“加密”将是最简单的选择。

yum install certbot
certbot certonly

选择“启动临时Web服务器”以通过ACME CA进行身份验证。如果您没有域，则稍后将颁发自签名证书。

证书生成和配置

传统的PKI使用起来很不方便，因此我们将使用easyrsaOpenVPN项目中的实用程序。在您的工作计算机上安装git并克隆存储库：

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

我们将建立CA并颁发证书。执行以下操作，并将您设置的PEM密码写在某处：

./easyrsa init-pki
./easyrsa build-ca

保持pki/private/ca.key安全。泄漏将使您的整个基础架构无用。

如果选择使用自签名服务器证书，请执行以下操作：

./easyrsa gen-req server

并输入服务器的IP地址作为通用名称。

./easyrsa sign-req server server

这将为服务器签名证书。转移pki/issued/server.crt和pki/ca.crt对/etc/ssl/certs和pki/private/server.key对/etc/ssl/private您的服务器上。

接下来，我们将创建客户端证书。请执行下列操作：

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

选择客户端的名称，并将其填写到通用名称字段中。记住密码！

接下来，我们将以pkcs12格式导出证书，以在移动平台上使用。做：

./easyrsa export-p12 client_01

选择一个导出密码，在手机上导入证书时将提示您输入。转移pki/private/client_01.p12到手机并导入。

配置服务器

我们将填写证书信息。

vim /etc/ocserv/ocserv.conf

找到该server-cert部分并填写以下内容：

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

请注意，如果您使用的是自签名证书，请记住首先删除密码，openssl rsa -in server.key -out server-new.key以便ocserv可以使用私钥。

找到auth部分。启用此行：

auth = "certificate"

并注释掉所有其他auth行。

取消注释此行：

cert-user-oid = 2.5.4.3

找到ipv6-network并填写服务器的ipv6块。这是服务器将提供租赁的块。

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

设置DNS服务器。

dns = 8.8.8.8
dns = 8.8.4.4

启用与Cisco客户端的兼容性。

cisco-client-compat = true

打开您设置的端口，tcp-port然后udp-port在firewalld中为ipv4和ipv6启用伪装。

启动服务器。

systemctl enable ocserv
systemctl start ocserv

测试时间！

服务器已成功配置。在客户端中创建连接并连接。如果出现问题，请使用以下命令进行调试：

journalctl -fu ocserv

同样，即使您的客户端网络没有为您提供地址，如果您的客户端软件支持ipv6，IPv6也应该在客户端上运行。转到此站点进行测试。

可以了，好了！享受与您的AnyConnect兼容的新VPN服务器！