hat jemand versucht, OpenVPN mit von Windows-Zertifikatdiensten generierten Zertifikaten zu verwenden? Theoretisch sollte das funktionieren.
Die bereitgestellte easy-rsa PKI ist für viele Benutzer nicht sehr komfortabel zu verwalten. Ich habe bereits ein ActiveDirectory eingerichtet und möchte idealerweise eine AD-Integration für die Zertifikate haben. Ich bin dieser Anleitung gefolgt, um die automatische Registrierung für eine Benutzergruppe einzurichten. Ich kann jedoch nicht einmal sicherstellen, dass dem entsprechenden Benutzer erfolgreich ein Zertifikat zugewiesen wurde. Es erscheint mir zu komplex.
Antwort1
Ja, das ist durchaus möglich. x509 ist x509.
OpenVPN 2.1 (Beta, aber vollkommen stabil) unterstützt CryptoAPI. Wir verwenden es täglich.
Um Ihre vorhandene PKI zu verwenden, geben Sie dem OpenVPN-Server einfach eine Kopie der CA. Sie können mithilfe von CCD angeben, welche Clients sich anmelden können, wenn Sie nicht möchten, dass jeder auf der CA Zugriff hat. Fügen Sie dann Folgendes in Ihre Client-Konfigurationen ein:
cryptoapicert "THUMB:<cert_thumb>"
<cert_thumb>Sie können die Zertifikatsdetails im persönlichen Zertifikatspeicher von Windows kopieren/einfügen .
Die automatische Registrierung ist mühsam und ich habe schon eine Weile damit gekämpft. Aber irgendwann funktioniert es.