Eu já mencionei isso em algumas outras perguntas do OpenVPN, mas usamos o nosso próprio instalador nulo para o OpenVPN. O ponto de partida e as instruções podem ser encontrados aqui . O instalador continha um arquivo de configuração bem comentado, principalmente pré-configurado para o usuário. Eles receberam boas instruções com muitas fotos para orientá-los no processo de geração de uma solicitação de assinatura de certificado usando o Assistente MyCertificate que faz parte desse pacote. Pré-preenchidos em todos os campos para a solicitação de certificado, além do nome e endereço de e-mail do funcionário. Eles então enviariam um e-mail para o csr, o qual verificávamos as informações na solicitação, assinávamos e enviamos o certificado por e-mail. Em seguida, suas instruções incluíram a instalação do certificado e a modificação dos arquivos de configuração para apontar para o novo certificado e arquivos de chave.
Nós éramos uma empresa pequena, por isso foi fácil ajudar os usuários que lutaram com esse processo. Em uma organização maior, acho que teria movido as solicitações de certificado e assinado e gerado automaticamente o arquivo de configuração para algum tipo de aplicativo baseado na web.
Outra coisa que você pode olhar é algo como wpkg , outro projeto favorito meu. Nela você pode ter um arquivo xml base que pertença a um perfil geral para enviar o pacote openvpn para todos os computadores da organização. Em seguida, você poderia ter perfis por usuário que contêm um arquivo de pacote xml que envia a configuração para esse usuário. Mas isso pode ser um pouco difícil de gerenciar se você tiver um grande número de usuários. Também leva um pouco de tempo para descobrir e implementar o wpkg, então pode não valer a pena o esforço. Se você tiver um servidor WSUS disponível, poderá fazer algo semelhante com ele.