¿Alguien ha intentado usar OpenVPN con certificados generados por los Servicios de certificados de Windows? En teoría esto debería funcionar.
La PKI easy-rsa proporcionada no es muy cómoda de administrar para muchos usuarios. Ya tengo configurado ActiveDirectory e idealmente me gustaría tener integración AD para los certificados. He seguido esta guía para configurar la inscripción automática para un grupo de usuarios. Sin embargo, ni siquiera puedo estar seguro de si al usuario correspondiente se le ha asignado correctamente un certificado. Me parece demasiado complejo.
Respuesta1
Sí, es perfectamente posible. x509 es x509.
OpenVPN 2.1 (beta, pero perfectamente estable) es compatible con CryptoAPI. Lo usamos uno a diario.
Para utilizar su PKI existente, simplemente proporcione al servidor OpenVPN una copia de la CA. Puede especificar qué clientes pueden iniciar sesión, si no desea que todos en la CA tengan acceso, mediante CCD. Luego coloque lo siguiente en las configuraciones de su cliente:
cryptoapicert "THUMB:<cert_thumb>"
Puede copiar y pegar los <cert_thumb>
detalles del certificado en el almacén de certificados personales de Windows.
La inscripción automática es una molestia y ha pasado un tiempo desde que tuve problemas con ello. Pero finalmente funciona.