有人尝试过使用 Windows 证书服务生成的证书来使用 OpenVPN 吗?理论上这应该可行。
对于许多用户来说,提供的 easy-rsa PKI 管理起来不是很方便。我已经设置了 ActiveDirectory,理想情况下我希望证书具有 AD 集成。我已按照本指南为用户组设置自动注册。但是,我甚至无法确定相应的用户是否已成功分配证书。这对我来说似乎过于复杂。
答案1
是的,完全有可能。x509 就是 x509。
OpenVPN 2.1(测试版,但非常稳定)支持 CryptoAPI。我们每天都会使用它。
要使用您现有的 PKI,只需向 OpenVPN 服务器提供 CA 的副本。如果您不希望 CA 上的每个人都有访问权限,您可以使用 CCD 指定哪些客户端可以登录。然后将以下内容放入您的客户端配置中:
cryptoapicert "THUMB:<cert_thumb>"
<cert_thumb>您可以从 Windows 个人证书存储中的证书详细信息中复制/粘贴。
自动注册很麻烦,我已经有一段时间没用它了。但它最终还是起作用了。