在当前远程办公和分布式团队日益普及的背景下,企业与个人用户对安全、稳定的网络连接需求持续增长，CentOS 作为一款成熟稳定的企业级 Linux 发行版，非常适合用于部署私有虚拟专用网络（VPN）服务，本文将详细介绍如何在 CentOS 系统上使用 OpenVPN 搭建一个功能完整、安全性高的点对点或站点到站点的虚拟私人网络，帮助用户实现跨地域的安全访问。

确保你已经准备了一台运行 CentOS 7 或 CentOS 8 的服务器（推荐使用 CentOS Stream 8/9，因为其更新更及时），你需要具备 root 权限或 sudo 权限，并且服务器已连接互联网，防火墙（如 firewalld 或 iptables）允许相关端口通行（默认 OpenVPN 使用 UDP 1194 端口）。

第一步：安装 OpenVPN 及 Easy-RSA 工具包
通过 yum 安装 OpenVPN 和 Easy-RSA（用于证书管理）：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

Easy-RSA 是生成 SSL/TLS 证书的核心工具，可保障客户端与服务器之间的加密通信。

第二步：配置证书颁发机构（CA）
进入 Easy-RSA 目录并初始化 PKI：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
cp vars.example vars

编辑 vars 文件，设置国家、组织名称等信息，

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

执行以下命令生成 CA 私钥和证书：

./clean-all
./build-ca

第三步：生成服务器证书和密钥

./build-key-server server

系统会提示是否信任该证书,输入 “yes” 并确认。

第四步：生成客户端证书（可为多个客户端分别生成）

./build-key client1

重复此步骤为每个客户端创建独立证书。

第五步：生成 Diffie-Hellman 参数和 HMAC 密钥

./build-dh
openvpn --genkey --secret ta.key

第六步：配置 OpenVPN 服务端文件
复制模板配置文件到 /etc/openvpn/server.conf，并进行如下关键修改：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

注意：若服务器位于 NAT 后，需开启 IP 转发：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

第七步：启动并启用 OpenVPN 服务

systemctl start openvpn@server
systemctl enable openvpn@server

将客户端所需的配置文件（包括 ca.crt、client1.crt、client1.key、ta.key）打包发送给客户端，并在客户端配置中指定服务器 IP 地址和协议，使用 OpenVPN GUI 或命令行连接即可建立加密隧道。

通过以上步骤,你已在 CentOS 上成功部署了一个基于 TLS 认证的 OpenVPN 服务，具备高安全性、灵活性和扩展性，适合中小型企业或个人用户构建私有网络通道，建议定期更新证书、监控日志、配置访问控制策略以进一步增强安全性。