를 사용하여 Let's Encrypt에서 인증서를 획득하고 갱신하도록 Synology DSM을 설정했습니다 acme.sh.
문제는 다음과 같습니다.
- Synology의 VPN 센터 패키지는 변경될 때마다 자동으로 기본 인증서를 선택합니다.
- OpenVPN 클라이언트가 단순히 공개 인증서를 신뢰하도록 만드는 방법을 찾을 수 없습니다.
- 인증서는 2개월마다 갱신되며 사용자가 구성 파일을 이렇게 자주 업데이트하도록 허용하는 것은 불가능합니다
.ovpn. - Linux에 대해 필요한 전문 지식을 갖추고 있음에도 불구하고 꼭 필요한 경우가 아니면 공급업체 소프트웨어를 수정하지 않는 것을 선호합니다.
내 사용자가 Synology DSM에서 이 OpenVPN 서버에 연결할 수 있도록 하려면 어떻게 해야 합니까?
답변1
그러지 마세요.
첫째, OpenVPN 자체 매뉴얼에서는 공용 CA를 사용하지 않는 것이 좋습니다. OpenVPN은 해당 CA에서 게시한 모든 인증서를 신뢰합니다. 제3자 CA에서 발급한 인증서 소유자가 VPN에 연결할 수 있을 것으로 기대하는지 의심스럽습니다.
둘째, 개인 서비스를 위해 공용 CA를 사용하는 것은 의미가 없습니다. VPN 덕분에 낯선 사람이 귀하의 서비스에 연결하거나 신뢰하기를 기대하지 않는 개인 서비스입니다. 여기에는 어쨌든 클라이언트에 배포해야 하는 VPN 구성 파일(아마도 내장되어 있음)과 함께 유효하고 편리한 루트 인증서 배포 지점이 있습니다. 또한 별도의 인증서 저장소가 있습니다. 이 모든 것에는 개인 VPN이 필요합니다. 따라서 CA 인증서를 배포하기 때문에 공용 HTTPS에 사용하는 것과 비교하여 VPN에 개인 CA를 사용하는 데에는 단점이 없습니다. 그건 그렇고, HTTPS도 VPN과 동일한 위치에서 클라이언트 인증서 유효성 검사를 위해 사설 CA에 유효한 용도로 사용됩니다. 이 경우 서버에 공개 인증서를 계속 사용할 수 있지만 클라이언트 인증서는 개인 CA로 서명됩니다.
셋째, Let's Encrypt는 도메인 검증 인증서를 발급합니다.TLS 웹 서버목적. OpenVPN을 올바르게 설정하면 해당 인증서만 서버에 설치할 수 있습니다. 클라이언트 인증서에는 역방향 특성이 있어야 합니다.TLS 웹 클라이언트목적. Let's Encrypt에서는 이러한 인증서를 발급하지 않습니다.
OpenVPN은 이 VPN만을 목적으로 하는 개인용 특수 CA를 염두에 두고 설계되었습니다. 그들은 그러한 CA를 생성하기 위한 스크립트 세트를 제공하며 이를 EasyRSA라고 합니다. 사용하기가 정말 쉽습니다. 이를 사용하고 싶지 않고 타당한 이유가 있는 경우 이 사설 CA를 생성하기 위해 다른 것을 사용할 수 있습니다. 예를 들어 우리는 이를 위해 MS AD 인증 서비스를 사용한 적이 있습니다.