我已將 Synology DSM 設定為使用 來從 Let's Encrypt 取得和續訂憑證acme.sh。
問題如下:
- Synology 的 VPN Center 套件會在預設憑證發生變更時自動選取它
- 我找不到一種方法讓 OpenVPN 用戶端簡單地信任公共憑證。
.ovpn證書每兩個月更新一次,讓我的用戶如此頻繁地更新他們的設定檔是不可行的。- 儘管我在 Linux 方面擁有必要的專業知識,但除非絕對必要,否則我不喜歡修改供應商軟體。
我應該如何操作才能讓我的用戶連接到 Synology DSM 上的此 OpenVPN 伺服器?
答案1
不要那樣做。
首先,OpenVPN自己的手冊建議不建議使用公共CA。 OpenVPN 將信任該 CA 發布的任何憑證。我懷疑您是否期望第三方 CA 頒發的憑證的任何持有者能夠連接到您的 VPN。
其次,使用公共 CA 來提供私人服務是沒有意義的。憑藉VPN,它是一種私人服務,不希望陌生人連接或信任您的服務。它有一個有效且方便的根憑證分發點 - 以及 VPN 設定檔(可能內建在其中),無論如何您都必須將其分發給客戶端。它還有一個單獨的憑證儲存。所有這些都需要私人 VPN。因此,與將私有 CA 用於公用 HTTPS 相比,使用私有 CA 沒有任何缺點,因為您散佈了 CA 憑證。順便說一句,即使是 HTTPS 也可以有效地使用私有 CA——與 VPN 一樣,用於客戶端憑證驗證;在這種情況下,您仍然可以使用伺服器的公共證書,但用戶端證書是使用您的私人 CA 簽署的。
第三,Let's Encrypt 頒發網域驗證證書TLS 網路伺服器目的。在正確設定 OpenVPN 時,您只能在伺服器上安裝此類憑證。客戶端憑證必須具有反向特徵 -TLS 網路用戶端目的。 Let's Encrypt 不會頒發此類憑證。
OpenVPN 的設計考慮了私有、特殊的 CA,僅用於此 VPN。他們提供了一組腳本來創建這樣的 CA,稱為 EasyRSA。它真的很容易使用。如果您不想使用它(並且您有正當理由),您可以使用其他東西來建立此私人 CA,例如,我們曾經為此使用過 MS AD 認證服務。