在当今数字化时代，网络安全和隐私保护越来越受到重视，无论是居家办公、远程访问企业内网，还是绕过地域限制访问内容，虚拟私人网络（VPN）都已成为不可或缺的工具，如果你希望拥有一个专属、稳定且安全的私密网络通道，而不想依赖第三方商业服务，那么自己动手搭建一个个人VPN是个不错的选择，本文将通过图文结合的方式，带你一步步完成从环境准备到最终测试的全过程,适合有一定Linux基础的用户参考。

第一步：准备服务器环境
你需要一台可公网访问的云服务器（如阿里云、腾讯云或AWS），推荐使用Ubuntu 20.04或22.04系统，登录服务器后,执行以下命令更新系统并安装必要软件：

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

第二步：配置证书颁发机构（CA）
OpenVPN依赖SSL/TLS加密，因此需要生成证书,运行以下命令初始化证书目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件（用nano或vim），设置国家、组织名称等信息（如图1所示）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@example.com"
export KEY_CN="server"
export KEY_NAME="server"
export KEY_OU="MyOU"

接着执行脚本生成CA证书：

./clean-all
./build-ca

第三步：生成服务器与客户端证书
继续执行：

./build-key-server server
./build-key client1

注意：生成客户端证书时会提示输入密码,建议留空以便自动连接。

第四步：生成Diffie-Hellman密钥和TLS密钥
这些用于增强加密强度：

./build-dh
openvpn --genkey --secret ta.key

第五步：配置服务器主文件
创建 /etc/openvpn/server.conf如下（关键配置已注释说明）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
tls-auth ta.key 0

第六步：启动服务并开放端口
启用防火墙规则（以UFW为例）：

sudo ufw allow 1194/udp
sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第七步：客户端配置与测试
下载 ca.crt、client1.crt、client1.key 和 ta.key 到本地电脑，创建 .ovpn 配置文件（如图2所示）：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
comp-lzo
verb 3

双击该文件即可在Windows或Android上导入并连接。

至此，你已经成功搭建了一个完全自控的个人VPN！相比商用服务，它更灵活、更安全，且无数据留存风险，记住定期更新证书和固件，确保长期可用性，动手试试吧,你的数字世界从此多一层保护！