有人嘗試過將 OpenVPN 與 Windows 憑證服務產生的憑證一起使用嗎?理論上這應該有效。
對於許多用戶來說,所提供的 easy-rsa PKI 管理起來不太方便。我已經設定了 ActiveDirectory,並且理想情況下希望對憑證進行 AD 整合。我已按照本指南為使用者群組設定自動註冊。但是我什至無法確定相應的用戶是否已成功分配證書。對我來說這似乎太複雜。
答案1
是的,這是完全可能的。 x509 是 x509。
OpenVPN 2.1(測試版,但完全穩定)支援 CryptoAPI。我們每天都會使用它。
要使用現有的 PKI,只需向 OpenVPN 伺服器提供 CA 的副本。如果您不希望 CA 上的每個人都可以使用 CCD 進行訪問,則可以指定哪些用戶端可以登入。然後將以下內容放入您的客戶端配置中:
cryptoapicert "THUMB:<cert_thumb>"
您可以複製/貼上<cert_thumb>Windows 個人憑證儲存中的憑證詳細資訊。
自動註冊是一種痛苦,我已經有一段時間沒有與之鬥爭了。但最終它確實有效。