我已经在 Debian/jessie 上设置了一个 OpenVPN 服务器,它使用用户/密码验证(通过 LDAP 获得)来授予我的用户访问 VPN 的权限。
该设置故意不使用客户端证书。
当然,服务器确实有一个以主机名vpn.example.com作为主题的证书。
为了启动 TLS 会话,服务器和客户端共享一个公共的CA,用于签署服务器的证书。
到目前为止,我已经设置了自己的 PKI 来签署自己的服务器证书,并与所有客户端共享了自己的公共 CA 密钥。
我觉得这很麻烦,因为每当证书过期时,我都必须CA向所有客户端分发新证书。它还要求我分发至少两个文件:配置本身和随附的证书,这使得用户部署更容易出错(而不是简单地“将此配置文件复制到该目录中”)。
相反,我想使用一些公共的、知名的 PKI(例如 lets-encrypt/ACME)来签署我的服务器证书。由于所有客户端都已接受 lets-encrypt,因此这应该允许客户端使用仅有的他们的用户名/密码(没有类似“令牌”的 CA 密钥)。
不幸的是,OpenVPN 似乎需要明确的CA-certificate(无论是在服务器端还是客户端)。
如果服务器证书是由某个已经在整个系统内受信任的 CA 签名的,那么有没有办法让 openvpn 信任该证书?