alguém já tentou usar o OpenVPN com certificados gerados pelos Serviços de Certificados do Windows? Em teoria, isso deveria funcionar.
A PKI easy-rsa fornecida não é muito confortável de gerenciar para muitos usuários. Já tenho um ActiveDirectory configurado e idealmente gostaria de ter integração AD para os certificados. Segui este guia para definir o registro automático para um grupo de usuários. No entanto, não consigo nem ter certeza se o usuário correspondente recebeu um certificado com êxito. Parece excessivamente complexo para mim.
Responder1
Sim, é perfeitamente possível. x509 é x509.
OpenVPN 2.1 (beta, mas perfeitamente estável) suporta CryptoAPI. Nós o usamos diariamente.
Para usar sua PKI existente, basta fornecer ao servidor OpenVPN uma cópia da CA. Você pode especificar quais clientes podem fazer login, se não quiser que todos na CA tenham acesso, usando CCD. Em seguida, coloque o seguinte nas configurações do seu cliente:
cryptoapicert "THUMB:<cert_thumb>"
Você pode copiar/colar os <cert_thumb>detalhes do certificado no armazenamento de certificados pessoais do Windows.
A inscrição automática é uma dor e já faz um tempo que não tenho dificuldades com isso. Mas funciona, eventualmente.