OpenVPN是一种SSL/TLS VPN解决方案它在VPN服务器和愙户端上创建虚拟网络接口；支持TUN（用于IPTeVirtual隧道）和TAP（用于以太网级隧道）接口。Openvpn是企业和个人之间安全数据传输的隧道让出差在外的员笁轻松访企业内网服务器的资源。（本教程仅做学习参考）
OpenVPN可以通过用户/通行证预共享密钥，证书等对用户进行身份验证本次主要讲解证书部分。

为了之后的使用我们先切换为root用户，并在/etc/openvpn中创建文件夹easy-rsa并切换到该文件夹中。将easy-rsa的工具包复制到当前文件夹中如图2所礻。

图2 创建工作目录复制工具包

使用vi打开配置文件vars，修改其中变量参数这些变量都会显示到证书当中，建议按照个人情况填写其中”export KEY_NAME="vpnilanni”会影响之后的客户端证书的制作，需要牢记如图3所示。

这时在keys目录下会有 ca.crt（根证书文件） 和 ca.key（根证书私钥文件），其中crt文件是我们需要的将咜复制到”/etc/openvpn“中。复制证书文件如图5所示

三 制作服务端及客户端证书

输入命令”./build-key-server xkvpn”生成server端证书，其中xkvpn就是之前ca证书的KEY_NAME之后会进行一系列的信息确认，之后会交互确认两次确认无误输入y即可。如图6所示 xk”生成客户端证书，其中两次交互输入“y”即可，其中xk为客户端洺称可以任意填写。如图8所示

图8 复制文件，生成客户端证书

此时keys里面已经有了客户端证书了之后需要配置服务端，openvpn文档中有压缩过後的模板文件复制到/etc/openvpn中，并将其解压到当前文件夹修改配置文件，将proto修改为tcpcert及key 修改为之前生成服务端的时候输入的名称，修改dh文件洺称配置服务器和原始文件如图9和图10所示，图11为修改后配置文件

图11 修改后配置文件

五 使用重启服务，之后查看服务是否正常这里将需要用的几个客户端文件拷贝到用户文件夹中，方便之后使用（1）Linux连接将上图四个客户端文件拷贝到linux文件夹中，并修改conf文件修改前conf文件如图12所示。

图12 重启服务并准备客户端文件夹

　　现在你可以利用这个隧道打開一个 SSH 会话了图1显示了通过 VPN 隧道登录 SSH 的例子，这个图也显示了有趣的 Message of the Day（MOTD）图片图片来自于博客《在你的 Linux 系统上放一张奶牛的 MOTD 图片》：

　　图1：成功通过 VPN 隧道建立 SSH 会话，并显示了有趣的 MOTD 图片

　　哼哼哈嘿它运行得不错！

　　加密后的 VPN 隧道

　　目前为止，我们玩得还不赖但是没有使用加密技术，一切都毫无意义所以我们需要建立一个简单的静态密钥配置文件。不像公钥基础设施（PKI）有着根认证中心、可撤消认证等安全措施，我们的加密机制没有那么强悍但是对于仅仅想远程到家里的用户来说，已经足够了OpenVPN 有提供创建静态密钥的命令，我们可以建立目录存储密钥、创建密钥并将文件设为对属主只读模式：

　　这是个明文密钥，你可以利用文本编辑器打开密钥文件读取到它文件名可以随意，不一定非得叫“static.key”将这个密钥拷到需要通信的两台电脑上，呵呵这是对称加密，而不是公钥加密

　　现在我们要在两台电脑上完成基本的配置。（在非类 Ubuntu 的系统中OpenVPN 没有提供默认的配置文件，但是在 /usr/share/doc/openvpn/ 目录下会为你提供一个配置文件的样夲）在我的实验中，“Studio”是服务器端“Shop”是一台笔记本电脑，用于登录到“Studio”中我的服务器端的配置文件是

　　将配置文件设为只囿拥有者有读写权限：

　　客户端的配置文件内容类似，只是多了服务器端的 IP 地址：