在现代企业网络环境中,远程办公和移动办公已成为常态,为了保障员工在不同地点能够安全、稳定地访问内部资源,SSL VPN(Secure Sockets Layer Virtual Private Network)成为一种备受青睐的技术方案,相比传统的IPSec VPN,SSL VPN无需安装客户端软件,只需通过浏览器即可建立加密通道,特别适合临时访问或移动设备用户,本文将以 CentOS 7/8 系统为例,详细介绍如何在Linux服务器上部署开源的 SSL VPN 解决方案——OpenVPN + Easy-RSA,并结合 Nginx 实现基于HTTPS的Web界面访问,确保企业数据传输的安全性和便捷性。
我们需要准备一台运行 CentOS 的物理服务器或虚拟机,建议至少2GB内存和1核CPU,操作系统版本推荐使用 CentOS Stream 8 或 CentOS Linux 7(需关闭SELinux并配置防火墙),安装前请确保系统已更新至最新补丁,执行命令:
sudo yum update -y
安装 OpenVPN 和 Easy-RSA 工具包:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
Easy-RSA 用于生成证书和密钥,是 OpenVPN 安全通信的基础,我们先初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo cp vars.example vars
编辑 vars 文件,根据企业需求设置组织名称(如ORG_NAME)、国家代码(COUNTRY)、省份(STATE)等字段,然后执行以下命令生成CA证书、服务器证书和客户端证书:
source ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh
这些步骤完成后,会生成一系列 .crt 和 .key 文件,它们构成了后续认证的核心组件。
配置 OpenVPN 服务端主文件 /etc/openvpn/server.conf,一个基础但安全的配置如下:
port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3上述配置启用TCP协议(便于穿透防火墙),分配私网IP段为10.8.0.0/24,自动推送DNS和路由规则,确保客户端访问内网时无缝连接。
配置完成后,启动 OpenVPN 并设为开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
若需通过 Web 界面管理客户端连接(如限制并发数、查看日志),可配合 Nginx 搭建轻量级前端,部署一个简单的 HTML 页面调用 OpenVPN 日志接口,实现可视化监控。
将客户端证书(client1.crt 和 client1.key)与 CA 证书打包成 .ovpn 文件,分发给员工,使用任何支持 OpenVPN 的客户端(Windows、Mac、Android、iOS)导入后即可连接。
在 CentOS 上搭建 SSL VPN 不仅成本低廉,而且具备高度灵活性与安全性,它特别适用于中小型企业快速部署远程办公环境,同时支持细粒度权限控制和审计功能,只要遵循标准流程并定期更新证书,就能为企业构建一条稳定可靠的数字通路。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
