Назад | Перейти на главную страницу

OpenVPN с PKI служб сертификации Windows

Кто-нибудь пробовал использовать OpenVPN с сертификатами, созданными службами сертификации Windows? Теоретически это должно работать.

Предоставленная PKI easy-rsa не очень удобна для многих пользователей. У меня уже настроен ActiveDirectory, и в идеале я хотел бы иметь интеграцию с AD для сертификатов. Я следовал этому руководству, чтобы настроить автоматическую регистрацию для группы пользователей. Однако я даже не могу убедиться, что соответствующему пользователю был успешно назначен сертификат. Мне это кажется слишком сложным.

http://www.isaserver.org/img/upl/vpnkitbeta2/autoenroll.htm

Да, это вполне возможно. x509 - это x509.

OpenVPN 2.1 (бета, но совершенно стабильная) поддерживает CryptoAPI. Мы используем его ежедневно.

Чтобы использовать существующую PKI, просто предоставьте серверу OpenVPN копию CA. Вы можете указать, какие клиенты могут входить в систему, если вы не хотите, чтобы у всех в CA был доступ, с помощью CCD. Затем поместите в свои клиентские конфигурации следующее:

cryptoapicert "THUMB:<cert_thumb>"

Вы можете скопировать / вставить <cert_thumb> из сведений о сертификате в личном хранилище сертификатов Windows.

Автоматическая регистрация - это боль, и я давно не боролся с ней. Но в конце концов это действительно работает.