Windows 証明書サービスによって生成された証明書で OpenVPN の使用を試みた人はいますか? 理論的にはこれで動作するはずです。
提供されている easy-rsa PKI は、多くのユーザーにとって管理があまり快適ではありません。ActiveDirectory はすでにセットアップされており、証明書の AD 統合が理想的です。このガイドに従って、ユーザー グループの自動登録を設定しました。ただし、対応するユーザーに証明書が正常に割り当てられたかどうかも確認できません。複雑すぎるように思えます。
答え1
はい、それは完全に可能です。x509 は x509 です。
OpenVPN 2.1 (ベータ版ですが、完全に安定しています) は CryptoAPI をサポートしています。私たちはこれを日常的に使用しています。
既存の PKI を使用するには、OpenVPN サーバーに CA のコピーを提供するだけです。CA 上の全員にアクセスを許可したくない場合は、CCD を使用して、ログインできるクライアントを指定できます。次に、クライアント構成に次の内容を入力します。
cryptoapicert "THUMB:<cert_thumb>"
<cert_thumb>Windows 個人証明書ストアの証明書の詳細からコピー/貼り付けできます。
自動登録は面倒で、苦労してからしばらく経ちます。しかし、最終的にはうまくいきます。