RouterOS（以下简称ROS）使用自签名证书搭建OPENVPN服务器。

一、环境介绍

1、RouterOS 6.48.6 (long-term)

2、openvpn-2.4.8

二、创建自签名证书

1、生成根证书。

System --> Certificates --> +，General选项卡，Name输入名称，如ca-77bx；Common Name输入RouterOS的公网IP或者域名，如ca.77bx.com; Days Valid输入有效期，建议输入3650。Key Usage选项卡，勾选crl sign和key cert. sign，点击ok完成根证书创建。

2、生成中间证书

System --> Certificates --> + ，General选项卡，Name输入名称，如server-77bx；Common Name输入*.77bx.com; Days Valid输入有效期，建议输入3650。Key Usage选项卡，勾选digital signature、key encipherment和tls server，点击ok完成中间证书创建。

3、生成客户端证书（私钥）

System --> Certificates --> + ，General选项卡，Name输入名称，如client-77bx；Common Name输入wj.77bx.com; Days Valid输入有效期，建议输入3650。Key Usage选项卡，勾选tls client，点击ok完成客户端证书创建。

4、证书签名

根证书签名，ca-77bx右键 --> Sign，Certificate选择ca-77bx, CA CRL. HOST填入RouterOS的公网IP或者域名（我这里wj.77bx.com已经解析到RouterOS），点击Start。

客户端证书签名，client-77bx右键 --> Sign，Certificate选择client-77bx, CA选择ca-77bx，点击Start。

中间证书签名，server-77bx右键 --> Sign，Certificate选择server-77bx, CA选择ca-77bx，点击Start。

5、导出证书

根证书签名，ca-77bx右键 --> Export，Certificate选择ca-77bx，Type选择PEM，File Name填入ca-77bx，点击Export

客户端证书签名，client-77bx右键 --> Export，Certificate选择client-77bx，Type选择PEM，Export Passphrase填入证书密码，File Name填入client-77bx，点击Export

Files找到3个证书并下载到本地。

三、ROS OVPN配置

1、IP -> Pool，创建一个OpenVPN地址池。

2、PPP -> Profiles，创建一个OpenVPN Profiles来指定刚刚创建的地址池，其中Remote Address选择刚刚创建的地址池

3、PPP > Secrets，创建账户

4、PPP -> Interface，点击OVPN Server，勾选Enabled开启服务，Default Profile选择刚刚创建的Profiles文件，Certificate选择刚才创建的服务端证书，并选择对应的认证和加密方式。

四、客户端配置

1、电脑安装 OpenVPN 客户端，并准备一个ovpn配置文件

2、新建txt文档，并把扩展名改为ovpn，并输入以下内容

client
dev tun
proto tcp
remote wj.77bx.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
tls-client
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache

<cert>
客户端证书

</cert>
<key>
客户端密钥

</key>

<ca>
根证书

</ca>

3、把配置文件放入到openvpn\config文件夹下，测试连接，显示需要输入账号密码和证书密码，输入完可以正常连接上服务器。