前言 作者地址:https://zorz.cc/post/anyconnect-with-trusted-ssl.html 在本博客以前的文章中介绍过anyconnect开源服务端ocserv的安装,但是之前为了方便,介绍的是自签SSL证书,自签证书在自用的情况当然没啥问题(如果你看到警告不开心,也可以申请可信的SSL证书),但如果是分享给别人使用,客户端连接服务端时出现的警告可能会导致一些误会,这里介绍一下如何在anyconnect中使用可信的ssl证书。 准备 需要准备的东西: 一台服务器 一个域名 将二级域名的A记录指向你的服务器(如A.yourdomain.com),当然你也可以直接用主域名指向你的服务器。 可以使用免费的域名:freenom.com 一个SSL证书:如果只有一个服务端可以使用https://freessl.org/申请亚洲诚信的证书,该证书具有一年有效期,不必频繁的续期,如果有数个服务端,申请证书可以会比较麻烦,就可以通过脚本申请Let's Encrypt的泛域证书,申请教程,这里以cloudflare为例:申请泛域证书,然后可以通过脚本自动续期,并通过scp,https,Resilio sync等方式分发到anyconnect服务端节点,这样可以简单方便的实现在多个服务端节点使anyconnect具有可信SSL证书。 本文是ubuntu16.04环境下的ocserv的安装与使用,同样适用于debian 安装ocserv并配置 大部分内容还是参考以前的文章 检查PPP/TUN环境 cat /dev/net/tun # 返回的必须是: cat: /dev/net/tun: File descriptor in bad state 安装依赖 sudo apt-get update sudo apt-get install pkg-config build-essential libgnutls28-dev libwrap0-dev liblz4-dev libseccomp-dev libreadline-dev libnl-nf-3-dev libev-dev gnutls-bin -y 编译安装 然后我们新建一个文件夹,并下载和编译安装 ocserv,此处用的 ocserv 可能不是最新的,最新的请看:ocserv mkdir ocserv && cd ocserv wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.12.2.tar.xz tar -xJf ocserv-0.12.2.tar.xz && cd ocserv-0.12.2 ./configure make make install # 安装后的文件可以不删除,卸载的时候还需要用到。 最后我们新建一个配置文件的文件夹: mkdir /etc/ocserv wget -N --no-check-certificate -P "/etc/ocserv" "https://files.zorz.cc/ocserv.conf" 上面下载的是doub.io大佬根据 ocserv 默认配置文件稍微改了改以适应教程的配置文件。 如果你想要自己改配置文件可以去看源码默认自带的配置文件: ocserv-0.12.2/doc/sample.config 配置参数解释 auth = "plain[passwd=/etc/ocserv/ocpasswd]" # 这个是登陆方式,plain[passwd=/etc/ocserv/ocpasswd] 代表使用密码登陆并且从 /etc/ocserv/ocpasswd 文件中读取用户名和密码 # listen-host = [IP|HOSTNAME] # 这个代表监听的IP或主机名,注释掉即可。 tcp-port = 443 udp-port = 443 # 这个代表 TCP和UDP监听的端口 默认443,如果端口被干扰或被占用,可以更换其他端口,端口号可分开 server-cert =…
本站源服务器将在2020-08-06 03:00:00 PM UTC进行安全维护操作,预计离线时长为1小时