A documentação do OpenVPN configura um único certificado de uma única CA para ser usado por todos os clientes.
Existe uma maneira de definir o servidor para ativar vários certificados de CAs diferentes, desde que os clientes tenham certificados válidos de autoridades confiáveis?
De acordo com a página de manual , o arquivo especificado pelo% A opçãoca pode conter vários certificados e também há uma opção capath para especificar um diretório contendo vários arquivos de certificado. Tente usá-los no servidor para apontar para todos os certificados de CA nos quais você deseja verificar os clientes.
uma maneira de fazer isso é ter vários arquivos de configuração e várias instâncias de escuta do openvpn em portas diferentes.
cada cliente terá que ser configurado com endereço e porta da instância correta [ou se você quiser usar o mesmo arquivo de configuração e não há problema em ter um tempo de conexão maior] uma lista de todos os addreses / ports disponíveis no formulário:
remote server.address 10001
remote server.address 10002
remote server.address 10002
AFAIK, a documentação do OpenVPN configura você para usar um certificado diferente para cada cliente. É verdade que todos eles são assinados pela mesma CA, mas isso não faz deles todos o mesmo certificado. Você deve cunhar um novo certificado para cada cliente (caso contrário, a revogação se torna uma proposta muito desagradável de tudo ou nada). Um certificado diferente para cada cliente, todos assinados pela mesma CA, não é suficiente para fazer o que você quer?
Minhas desculpas, se você já sabia que o OpenVPN faria isso, e há boas razões para que isso não funcione para você; mas sua pergunta não sugeriu que você estivesse ciente disso.