Кто-нибудь пробовал использовать OpenVPN с сертификатами, сгенерированными службами сертификации Windows? В теории это должно работать.
Предоставленный easy-rsa PKI не очень удобен в управлении для многих пользователей. У меня уже настроен ActiveDirectory, и в идеале я хотел бы иметь интеграцию AD для сертификатов. Я следовал этому руководству, чтобы настроить автоматическую регистрацию для группы пользователей. Однако я даже не могу убедиться, что соответствующему пользователю был успешно назначен сертификат. Мне это кажется слишком сложным.
решение1
Да, это вполне возможно. x509 есть x509.
OpenVPN 2.1 (бета, но совершенно стабильная) поддерживает CryptoAPI. Мы используем его каждый день.
Чтобы использовать существующий PKI, просто дайте серверу OpenVPN копию CA. Вы можете указать, какие клиенты могут войти в систему, если вы не хотите, чтобы все в CA имели доступ, используя CCD. Затем поместите следующее в конфигурации клиента:
cryptoapicert "THUMB:<cert_thumb>"
Вы можете скопировать/вставить <cert_thumb>данные сертификата из личного хранилища сертификатов Windows.
Автоматическая регистрация — это боль, и прошло уже много времени с тех пор, как я с ней боролся. Но в конце концов она работает.