OpenVPN是一种开源的虚拟专用网络（VPN）技术，提供跨平台的加密通信解决方案。本文详解在Windows上安装OpenVPN服务端,生成CA、服务器和客户端证书及密钥,配置IP转发和网络共享,设置服务端与客户端连接参数,验证连接及证书吊销管理的完整流程。

OpenVPN是一种基于OpenSSL的开源虚拟专用网络（VPN）协议。它提供了一种安全、高效的方式来加密网络数据，保护用户的隐私和数据安全。通过OpenVPN，你可以在公共网络上建立安全的加密通道，实现远程访问公司内网、安全地分享数据等功能。

OpenVPN前言

1. 核心功能与优势‌

• ‌协议支持‌：基于 OpenSSL 提供 SSL/TLS 加密，支持 TCP/UDP 协议，适用于远程办公、分支互联等场景4。
• ‌跨平台兼容‌：覆盖 Windows、Linux、macOS 及移动端，支持动态路由与 NAT 穿透4。
• ‌身份认证‌：结合 X.509 证书或用户名/密码机制，实现服务器与客户端的双向验证4。

‌2. 安全风险与漏洞历史‌

• ‌Heartbleed 漏洞（2014）‌：OpenSSL 的“心脏出血”漏洞允许攻击者窃取服务器内存中的敏感数据（如证书、密码），OpenVPN 在漏洞曝光当天紧急修复，但部分第三方软件仍可能使用存在漏洞的旧版本1。
• ‌非授权访问（2012）‌：安卓系统上的 OpenVPN 证书曾被发现存储于 SD 卡中，存在被恶意应用窃取的风险2。

‌3. 技术演进与生态支持‌

• ‌谷歌补丁奖励计划（2013）‌：OpenVPN 被列入谷歌“Patch Rewards”计划，鼓励开发者提交安全补丁以提升稳定性3。
• ‌与 SD-WAN/ZTNA 的融合‌：现代网络安全架构中，OpenVPN 逐渐与 SD-WAN（流量优化）、ZTNA（零信任）结合，形成多层次防护体系4。

‌4. 部署建议‌

• ‌及时更新‌：优先使用官方最新版本，避免依赖第三方封装软件。
• ‌强化认证‌：启用双因素认证（如证书+动态令牌），替代单一密码验证。

安装OpenVPN服务

下载最新版本的OpenVPN服务端，可以从这个地址下载：

Community Downloads | OpenVPN

下载的文件名为：OpenVPN-2.5.5-I602-amd64.msi

双击安装，选择“Customize”

默认情况下不会安装的两个特性，我们需要在安装过程中进行选择。

• OpenVPN Service

• 

• OpenSSL  Utilities

• 

• 点击install now

安装完成后，点击close。

这时会弹出一个提醒框，提示没有找到可连接的配置文件，现在不用管它，点击ok即可。

我们打开网络和共享中心，点击更改适配器设置，可以看到多了两个网络连接

设置CA证书、生成服务端和客户端的证书和私钥等

找到目录“C:\Program Files\OpenVPN\easy-rsa”，将文件vars.example复制一份改名为vars，“vars”文件包含内置的Easy-RSA配置设置。可以保持默认设置，也可以自定义更改。

属性	默认值	作用
set_var EASYRSA	C:\Program Files\OpenVPN\easy-rsa	Defines the folder location of easy-rsa scripts
set_var EASYRSA_OPENSSL	C:\Program Files\OpenVPN\bin\openssl.exe	Defines the OpenSSL binary path
set_var EASYRSA_PKI	C:\Program Files\OpenVPN\easy-rsa\pki	The folder location of SSL/TLS file exists after creation
set_var EASYRSA_DN	cn_only	This is used to adjust what elements are included in the Subject field as the DN
set_var EASYRSA_REQ_COUNTRY	“US”	Our Organisation Country
set_var EASYRSA_REQ_PROVINCE	“California”	Our Organisation Province
set_var EASYRSA_REQ_CITY	“San Francisco”	Our Organisation City
set_var EASYRSA_REQ_ORG	“Copyleft Certificate Co”	Our Organisation Name
set_var EASYRSA_REQ_EMAIL	“me@example.net”	Our Organisation contact email
set_var EASYRSA_REQ_OU	“My Organizational Unit”	Our Organisation Unit name
set_var EASYRSA_KEY_SIZE	2048	Define the key pair size in bits
set_var EASYRSA_ALGO	rsa	The default crypt mode
set_var EASYRSA_CA_EXPIRE	3650	The CA key expire days
set_var EASYRSA_CERT_EXPIRE	825	The Server certificate key expire days
set_var EASYRSA_NS_SUPPORT	“no”	Support deprecated Netscape extension
set_var EASYRSA_NS_COMMENT	“HAKASE-LABS CERTIFICATE AUTHORITY”	Defines NS comment
set_var EASYRSA_EXT_DIR	"$EASYRSA/x509-types"	Defines the x509 extension directory
set_var EASYRSA_SSL_CONF	"$EASYRSA/openssl-easyrsa.cnf"	Defines the openssl config file location
set_var EASYRSA_DIGEST	"sha256"	Defines the cryptographic digest to use

如没有特殊要求，则vars文件保持默认即可。

现在打开cmd（管理员权限），切换到“C:\Program Files\OpenVPN\easy-rsa”目录下

cd C:\Program Files\OpenVPN\easy-rsa

EasyRSA-Start.bat

输入EasyRSA-Start.bat回车后，我们会进入到easy-rsa3的shell会话

执行init-pki来创建pki目录

./easyrsa init-pki

现在，使用下面的命令构建证书颁发机构(CA)密钥。这个CA根证书文件稍后将用于签署其他证书和密钥。我们使用的“nopass”选项用于禁用密码。

./easyrsa build-ca nopass

命令将被要求输入通用名称。这里我输入的VPN服务器主机名是OPENVPNSERVER，这是一种常见的做法。在这里，我们可以自由使用任何名称或值。同时创建的CA证书将被保存到文件夹“C:\Program Files\OpenVPN\easy-rsa\pki”，文件名为“ca .crt”。请参考下面的截图。

现在使用下面的命令构建一个服务器证书和密钥。这里将< SERVER >替换为您自己的服务器名。我还使用Option nopass来禁用密码。

./easyrsa build-server-full <SERVER> nopass

颁发的服务器证书将在“C:\Program Files\OpenVPN\easy-rsa\pki\issued”文件夹中，文件名为SERVER .crt。

这里可以使用以下命令进行验证，返回ok就没问题

openssl verify -CAfile pki/ca.crt pki/issued/SERVER.crt

现在，使用下面的命令构建客户端证书和密钥。将< CLIENT >替换为您的客户端名称。也使用选项nopass来禁用密码。

./easyrsa build-client-full <CLIENT> nopass

颁发的客户端证书也会被保存到“C:\Program Files\OpenVPN\easy-rsa\pki\issued”文件夹中，文件名为“CLIENT.crt”。

同样这里可以使用以下命令进行验证，返回ok就没问题

openssl verify -CAfile pki/ca.crt pki/issued/CLIENT.crt

到这里就完成了CA证书，服务器和客户端证书的生成和密钥。这些密钥将用于OpenVPN服务器和客户端之间的身份验证。

现在生成一个用于标准RSA证书/密钥之外的共享密钥。文件名为tls-auth.key。

使用这个密钥，我们启用TLS -auth指令，它添加一个额外的HMAC签名到所有SSL/TLS握手包的完整性验证。任何不带有正确HMAC签名的UDP包可以被丢弃而无需进一步处理。

启用tls-auth可以保护我们免受：

• OpenVPN UDP端口上的DoS攻击或端口泛洪。
• 端口扫描，以确定哪些服务器UDP端口处于侦听状态。
• SSL/TLS实现中的缓冲区溢出漏洞。
• 从未经授权的机器发起SSL/TLS握手。

首先使用GitHub链接https://github.com/TinCanTech/easy-tls下载Easy-TLS。它是一个Easy-RSA扩展工具，我们正在使用它来生成tls-auth密钥。

请参考下面的截图。

然后解压“easy-tls-2.7.0.zip文件夹，将“easytls”和“easytls-openssl.cnf”文件拷贝到“C:\Program files \OpenVPN\easy-rsa”目录下。查看下面的截图作为参考。

现在回到EasyRSA shell提示符并输入下面的命令。初始化easy-tls脚本程序。

./easytls init-tls

现在，使用下面的命令生成tls-auth密钥。

./easytls build-tls-auth

该命令将生成名为“tls-auth”的密钥文件。在“C:\Program Files\OpenVPN\easy-rsa\pki\easytls”文件夹下。请参考下面的截图。

现在我们需要生成Diffie Hellman参数

OpenVPN服务器必须要生成Diffie Hellman参数

这些参数定义了OpenSSL如何执行Diffie-Hellman (DH)密钥交换。Diffie-Hellman密钥交换是一种通过公共信道安全地交换密码密钥的方法

发出下面的命令，从EasyRSA shell生成Diffie Hellman参数(这个过程可能需要1分钟左右时间)

./easyrsa gen-dh

该命令将在“C:\Program Files\OpenVPN\easy-rsa\pki”文件夹下创建dh文件，文件名为“dh .pem”。请参考下面的截图。

这就完成了OpenVPN服务所需的SSL/TLS密钥文件的生成。我们将能够在下面的文件夹中找到创建的文件。

目录	内容
C:\Program Files\OpenVPN\easy-rsa\pki	CA file, DH file and other OpenSSL related files like config file
C:\Program Files\OpenVPN\easy-rsa\pki\private	Include the private key files of CA, Server and Client certificates
C:\Program Files\OpenVPN\easy-rsa\pki\easytls	Contains the tls-auth key
C:\Program Files\OpenVPN\easy-rsa\pki\issued	Contains issued Server and Client certificates

下面是有关文件的简短说明

Filename	Needed By	Purpose	Secret
ca.crt	server + all clients	Root CA certificate	No
ca.key	Server Only	Root CA key	YES
dh.pem	server only	Diffie Hellman parameters	No
SERVER.crt	server only	Server Certificate	No
SERVER.key	server only	Server Key	Yes
CLIENT.crt	Client only	Client Certificate	No
CLIENT.key	Client only	Client Key	Yes
tls-auth.key	server + all clients	Used for tls-auth directive	No

配置ip转发和网络共享

打开注册表，win+R，输入regedit.exe，依次找到：HKEY LOCAL MACHINESYSTEM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将IPEableRouter值改为1，如下图

然后打开控制面板，找到“控制面板\网络和 Internet\网络连接”，右键点击“以太网”，点击“属性”，在“共享”中钩上“允许其他网络用户通过此计算机的internet连接来连接”，并选择“OpenVPN TAP-Windows6”，点击确定。

创建服务端配置文件

首先打开Windows资源管理器，进入C:\Program Files\OpenVPN\sample-config文件夹，将server.ovpn文件复制一份到C:\Program Files\OpenVPN\config目录下。

同时将以下文件一并复制到C:\Program Files\OpenVPN\config目录下

• ca.crt
• dh.pem
• SERVER.crt
• SERVER.key
• tls-auth.key

编辑server.ovpn文件，修改以下地方，其他保持默认即可

local x.x.x.x  # 这个是服务器的内网IP地址

ca ca.crt

cert SERVER.crt

key SERVER.key

dh dh.pem

push " route 192.168.10.0 255.255.255.0"  # 内网网段

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 114.114.114.114" # 可以改成其他的DNS服务器

push "dhcp-option DNS 8.8.8.8"

tls-auth tls-auth.key 0 # This file is secret

cipher AES-256-GCM

点击连接，图标变绿就正常。

客户端安装

双击之前下载的OpenVPN-2.5.5-I602-amd64.msi安装，选择‘’install now‘’：

配置客户端

复制以下文件到你的客户端，并且在同一目录下

• ca.crt
• CLIENT.crt
• CLIENT.key
• tls-auth.key
• client.ovpn（“C:\Program Files\OpenVPN\sample-config”）

编辑client.ovpn，修改以下参数，其他保持默认

remote *.*.*.* 1194 # 服务器公网IP地址

ca ca.crt

cert client.crt

key client.key

tls-auth tls-auth.key 1

cipher AES-256-GCM

右击桌面任务栏带锁小图标，点击连接，变绿说明连接成功：

验证

Win+R,输入cmd，pingVPN服务端虚拟地址和内网地址：

吊销客户端证书

当我们创建了多个用户使用，然后某些原因，个别用户需要禁用的时候，我们就可以使用吊销证书的方式来处理。

首先在你的OpenVPN服务器上，打开cmd管理员权限窗口，进入目录“C:\Program Files\OpenVPN\easy-rsa\”

cd "C:\Program Files\OpenVPN\easy-rsa"

EasyRSA-Start.bat

进入easyrsa的shell界面

输入以下命令

./easyrsa revoke <client>  # 你要吊销的客户端名

./easyrsa gen-crl # 生成crl.pem文件，用来记录吊销的证书

编辑server.ovpn（“C:\Program Files\OpenVPN\config”下），在行尾加入一行

crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\crl.pem" # 用来告知服务端有哪些证书是被吊销的