vps 上搭建 ocserv 并使用证书验证 anyconnect 客户端使用

经过这几周的折腾，我已经可以在digital ocean上搭建ocserv并在iPhone上使用证书登录，不需要再输入烦人的用户名/密码验证，具体操作看以下两篇教程

1 http://imkevin.me/post/80157872840/anyconnect-iphone 阅读如何编译搭建ocserv，如何打开tcp转发以及iptable配置

2 http://bao3.blogspot.com/2014/10/ocserv-085.html 参考如何配置ocserv 配置文件路由列表以及证书生成使用

注意：
一：使用教程二的版本 ocserv0.85/0.86皆可，教程一版本过老

踩过的坑：
教程二中配置文件ocserv.conf中我建议是不需要使用
user-profile = /usr/local/etc/ocserv/profile.xml，
我之前因为这个出现过证书无法匹配的莫名bug。

如果你之前有配置过这项，不管哪个平台，请先卸载anyconnect客户端并重装

xieyingli

2014-10-13 13:05:53 +08:00

赞一个，各方面都是走在最前沿啊，可学！

hvsy

2014-10-13 14:30:49 +08:00

@windblueos 为什么我配置的oserv能够连上却不能上网,防火墙什么的都关闭了.使用的是plain密码验证.

windblueos

2014-10-13 14:40:08 +08:00

tcp转发以及iptable是否正确，看第一篇教程

gissimo

2014-10-13 14:42:26 +08:00

速度如何？听说anyconnect速度不快？

另外传说anyconnect锁屏不断线？

hvsy

2014-10-13 14:43:06 +08:00

@windblueos iptable关掉了.tcp转发是sysctl net.ipv4.ip_forward=1 ???

windblueos

2014-10-13 14:45:41 +08:00

@gissimo 这个看你vps的速度，我这边手机上用的听可以

@hvsy 你Google下吧，你基本设置都还没搞定

sansam

2014-10-13 14:56:29 +08:00

@windblueos 亲，介绍一下移动端的证书要怎么配置呢？或者哪有相关的文档介绍，iphone和android。

windblueos

2014-10-13 14:58:42 +08:00

@sansam 吐血，第二篇教程不就是了啊！！！！！服务器生成ca server client证书，并把client证书转成p12格式给android安装不就行了吗

gissimo

2014-10-13 15:26:32 +08:00

@windblueos 我就是digital ocean sf2. 你感觉速度能到多少

sansam

2014-10-13 16:43:23 +08:00

@windblueos 多谢，已成功

windblueos

2014-10-13 17:37:37 +08:00

@gissimo anyconnect速度比不上shadowsock，我只是用来刷twittering fb，youtube在家里维持在360p左右吧

gissimo

2014-10-13 18:32:12 +08:00

@windblueos 我用来cisco ipsec

RoberMac

2014-10-13 22:36:32 +08:00

@windblueos 搞不定...
10月 13 10:34:00 default.hostname ocserv[701]: worker: xxxxx:55650 no certificate...on
10月 13 10:34:00 default.hostname ocserv[698]: main: xxxxx:55650 main-misc.c:414:...ed
10月 13 10:34:04 default.hostname ocserv[698]: main: main-misc.c:743: cannot open: /sys/fs...ks
10月 13 10:34:04 default.hostname ocserv[702]: GnuTLS error (at worker-vpn.c:732): A TLS f...te
10月 13 10:34:04 default.hostname ocserv[698]: main: xxxxx:55661 main-misc.c:414:...ed
10月 13 10:34:20 default.hostname ocserv[698]: main: main-misc.c:743: cannot open: /sys/fs...ks
10月 13 10:34:20 default.hostname ocserv[703]: worker: xxxxx:55662 tlslib.c:282: ...d.
10月 13 10:34:20 default.hostname ocserv[699]: sec-mod: received request from pid 703 and ...99
10月 13 10:34:20 default.hostname ocserv[699]: sec-mod: cmd [size=309] sm: decrypt
10月 13 10:34:20 default.hostname ocserv[698]: main: xxxxx:55662 main-misc.c:414:...ed
Hint: Some lines were ellipsized, use -l to show in full.

windblueos

2014-10-14 09:17:04 +08:00

请按照第二篇教程，除了那个user-profile = /usr/local/etc/ocserv/profile.xml，请完全跟它conf一模一样再试试，然后客户端卸载后重装
@RoberMac

jaminzhang

2014-10-15 15:51:16 +08:00

@windblueos
这个证书认证每次连接的时候，会不会提示“不信任的服务器”？

我按照教程2的来可以用证书连接上，但浏览器打不开网页。
使用用户名密码认证可以正常打开网页。

windblueos

2014-10-15 16:55:57 +08:00

@jaminzhang 自用证书是会提示不信任的，自己关掉就可以

上不了网页就不知道了，你具体看log 搜索下

Jays

2014-10-16 01:07:48 +08:00

已有CA证书该怎么配置客户端证书呢？

kkxxxxxxx

2014-10-17 09:08:13 +08:00

iOS版Anyconnect成功.
android版Anyconnect不成功,是否一定要root?

bitinn

2014-10-19 00:30:00 +08:00

ocserv搭了很久，但一直没搞客户端证书验证，今晚试了下，很简单的几步结果搞了一晚，最后才发现是certtool生成的p12无法导入AnyConnect的iOS客户端。

换成openssl果然就好了，特此提醒下各位。

用这个通过：openssl pkcs12 -export -inkey user-key.pem -in user-cert.pem -certfile ca-cert.pem -out user.p12

用这个被拒：certtool --to-p12 --load-ca-certificate ca-cert.pem --load-privkey user-key.pem --load-certificate user-cert.pem --outfile user.p12

bitinn

2014-10-19 00:37:47 +08:00

顺道问下：iOS的AnyConnect有什么办法信任自己建立的CA证书签名的服务器证书吗？或者说有啥办法导入自己建的CA证书？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/138597

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.