在当今远程办公和分布式团队日益普及的背景下,虚拟私人网络(VPN)已成为企业与个人用户保障数据安全、实现跨地域访问的关键工具,OpenVPN 是一款开源、灵活且高度可定制的 VPN 解决方案,广泛用于 Windows、Linux 和 macOS 系统,本文将详细介绍如何在 Windows 系统上部署并配置 OpenVPN Server,涵盖环境准备、证书生成、服务安装、防火墙设置以及客户端连接测试等核心步骤。
第一步:准备工作
确保你有一台运行 Windows Server 或 Windows 10/11 的主机,并具备管理员权限,推荐使用 Windows Server 2019/2022,因其稳定性更高,你需要安装以下组件:
- OpenVPN 官方服务器软件(https://openvpn.net/community-downloads/)
- OpenSSL(用于生成证书和密钥)
- 建议使用 Git Bash 或 PowerShell 运行命令行操作
第二步:生成 TLS 证书与密钥
OpenVPN 使用 PKI(公钥基础设施)进行身份验证,你需要生成 CA 根证书、服务器证书、客户端证书及 Diffie-Hellman 参数。
-
使用 OpenSSL 工具创建 CA 密钥对:
openssl genrsa -out ca.key 4096 openssl req -new -x509 -key ca.key -out ca.crt按提示填写组织信息(如国家、公司名),这些信息将在客户端连接时显示。
-
生成服务器证书:
openssl genrsa -out server.key 4096 openssl req -new -key server.key -out server.csr openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -
生成客户端证书(每个用户一个):
openssl genrsa -out client.key 4096 openssl req -new -key client.key -out client.csr openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 3650 -
生成 Diffie-Hellman 参数(用于密钥交换):
openssl dhparam -out dh.pem 4096
第三步:配置 OpenVPN 服务
将上述文件(ca.crt、server.crt、server.key、dh.pem)放入 OpenVPN 服务器安装目录下的 config 文件夹中,编辑 server.conf 文件,关键配置包括:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3第四步:启动服务与防火墙设置
运行 net start openvpnservice 启动 OpenVPN 服务,若使用 Windows Defender 防火墙,需添加入站规则允许 UDP 端口 1194 流量。
第五步:客户端配置与测试
将 client.ovpn 文件(包含 ca.crt、client.crt、client.key)分发给用户,客户端连接成功后,可访问内网资源,如文件共享或数据库服务器。
通过以上步骤,你已在 Windows 上成功搭建了一个稳定、安全的 OpenVPN 服务,此配置支持多用户并发接入,适合中小型企业部署,同时便于后续扩展为双因素认证或集成 LDAP 身份验证。
