在当今云原生和混合架构日益普及的背景下,企业或个人用户常需通过安全隧道远程访问位于 Amazon Web Services(AWS)上的私有资源,Amazon Linux 作为 AWS 官方推荐的轻量级 Linux 发行版,因其稳定性、兼容性和良好的 AWS 集成特性,成为部署虚拟专用网络(VPN)服务的理想平台,本文将详细介绍如何在 Amazon Linux 2 或 Amazon Linux 2023 上搭建并配置 OpenVPN 服务,实现安全、可靠的远程访问。
确保你已经拥有一台运行 Amazon Linux 的 EC2 实例,并具备基本的 SSH 连接权限,建议使用 Amazon Linux 2023,因为其支持最新的软件包管理器(dnf),且默认启用 SELinux 以增强安全性。
第一步是更新系统并安装 OpenVPN 所需依赖:
sudo dnf update -y sudo dnf install openvpn easy-rsa -y
easy-rsa 是用于生成证书和密钥的工具,是 OpenVPN 安全通信的核心组件。
第二步,初始化 PKI(公钥基础设施),复制 easy-rsa 到 /etc/openvpn/ 并配置环境变量:
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/ sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
这里会提示输入 CA 名称(如 “MyCA”),用于后续客户端认证。
第三步,生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
第四步,生成 Diffie-Hellman 密钥交换参数(提升加密强度):
sudo ./easyrsa gen-dh
第五步,创建 TLS 密钥(用于防止中间人攻击):
sudo openvpn --genkey --secret ta.key
第六步,配置 OpenVPN 服务器主文件,新建 /etc/openvpn/server.conf 文件,内容如下(可根据需求调整端口、子网等):
port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/server.crt
key /etc/openvpn/pki/private/server.key
dh /etc/openvpn/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第七步,启动并启用 OpenVPN 服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
第八步,配置 AWS 安全组(Security Group),开放 UDP 1194 端口,允许来自公网的连接。
第九步,为客户端生成证书(可选但推荐):
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
将客户端配置文件(.ovpn)打包发送给用户,包含 CA 证书、客户端证书、私钥及 TLS 密钥,即可在 Windows、macOS、Linux 或移动设备上使用 OpenVPN 客户端连接。
通过上述步骤,你可以在 Amazon Linux 上成功部署一个功能完整的 OpenVPN 服务,满足远程办公、跨地域访问私有资源等场景的安全需求,建议定期更新证书、启用日志审计和监控机制,进一步提升整体安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
