advanced openvpn - como os clientes geram suas próprias chaves privadas e obtêm o controle remoto ca para assinar seu certificado

Existem algumas maneiras.

1. O que fazemos mais comumente, porque a maioria de nossos certificados é emitida diretamente para tokens de hardware e os usuários finais são baseados em Windows / IE, é gerar automaticamente a chave e solicitar do navegador usando o MS CAPI. É um toque bastante infalível e totalmente baixo. Isso seria adequado se seus usuários fossem baseados no Windows e se você pretenda que os certificados sejam instalados no armazenamento de certificados local. Depois que o certificado for assinado, você poderá fornecer um link para coletar o certificado e colocá-lo diretamente na loja, juntamente com a chave privada existente.

2. Como alternativa, algo que fazemos para usuários que não são da Wintel é fornecer a eles um comando completo que eles possam copiar e executar para gerar a saída necessária. Normalmente, isso é o OpenSSL para nós, mas você pode fazer referência aos utilitários empacotados com o OpenVPN, já que eles já devem ter instalado isso. Em seguida, colam o CSR novamente em um formulário da Web, ele recebe uma validação simples e é enviado de volta para assinatura. Você então devolve o CRT com as instruções finais do que fazer.

Minha experiência é que você precisa fornecer aos usuários detalhes sobre "o que fazer" na menor quantidade possível de instruções. Tente fazer o máximo possível de trabalho para eles e restrinja o escopo para interpretações erradas.

Especialmente, eu desenvolvo a chave e o certificado do cliente em uma máquina remota que difere do servidor openvpn. Você pode encontrar aqui um tuto bacana, espero que possa te ajudar link