主页 / server / 问题 / 1019499
Accepted
Radheyshyam Sen
Asked: 2020-06-01 22:38:05 +0800 CST

我们可以像在softether vpn服务器中加密一样使用CA签名证书吗?

  • 772

我正在尝试将让我们加密证书附加到我的 softether vpn 服务器,但没有找到解决方法。我们可以使用 CA 签名证书,比如让我们在 vpn 服务器中加密吗?如果是,请提供流程。

vpn openvpn certificate-authority lets-encrypt softether

1 个回答

  1. Best Answer

    在 VPN 服务器上使用 Let's Encrypt 证书的主要挑战是它们的有效期非常短,只有 3 个月。这意味着有一些先决条件:

    • 一旦 Certbot 更新了证书和私钥,您必须能够自动加载它们。幸运的是,Softether 有一个命令行管理实用程序。您至少应该熟悉6.2 General Usage ofvpncmd才能理解此答案中的步骤 1 和 3。
    • 对于HTTP-01 质询,VPN 服务器需要可在 HTTP 端口 80 上公开访问。此外,Softether VPN 服务器没有内置 HTTP-01 质询,因此需要外部 Certbot。

    脚步:

    1. 您应该将 Let's Encrypt 添加为 VPN 客户端的受信任 CA。

    2. 安装和配置 Certbot:基于您的 Web 服务器和系统的说明

    3. 创建定期更新证书和密钥的脚本/任务/cronjob。

      • Certbot 更新所有将在一个月内到期的证书。因此,在旧证书到期之前最多有一个月的时间,但为了尽量减少失败的机会,我建议至少每周运行一次此脚本。

      • 来自6.3.20 "ServerCertSet": Set SSL Certificate and Private Key of VPN Server的命令是:

        ServerCertSet [/LOADCERT:cert] [/LOADKEY:key]

        /LOADCERT指定要使用的 X.509 格式证书文件。

        /LOADKEY指定要使用的证书的 Base 64 编码私钥文件。

        例如对于 Debian Linux,命令可能是:

        vpncmd /server localhost /password:password /adminhub:DEFAULT
    /cmd ServerCertSet \
    /LOADCERT:/etc/letsencrypt/live/vpn.example.com/cert.pem \
    /LOADKEY:/etc/letsencrypt/live/vpn.example.com/privkey.pem
    • 1

相关问题