Мне нужно настроить новый канал OpenVPN, но у меня уже есть ЦС Windows, поэтому мне нужно подписать сертификаты сервера и клиента с этим ЦС.
Я создал новый запрос на подпись сервера и клиента:
openssl req -newkey rsa:2048 -keyout client.key -nodes -out client.req -subj "/CN=x/O=x/C=x/ST=x/L=x"
Я подписал их с помощью службы сертификации Microsoft Active Directory, используя шаблон «Веб-сервер».
Теперь OpenVPN выдает мне эту ошибку:
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS Error: TLS handshake failed
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS Error: TLS object -> incoming plaintext read error
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS_ERROR: BIO read tls_read_plaintext error
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=IT, ST=x, L=x, O=x, CN=x
Кажется, что сертификат клиента не подходит, возможно, из-за выбранного шаблона сертификата. Какой я должен был выбрать из Windows CA? Мне нужно сохранить CN в запросе.