Every guide you read for distributing internal certs for this kind of setup uses computer certs, but the question is why? Is it really any more or less secure then a user certificate?
Não é (necessariamente) sobre segurança; eles estão usando certificados de computador porque essa é a solução mais apropriada para seu caso de uso. Você já descobriu alguns motivos pelos quais o uso de certificados de usuário é menos conveniente: você precisava criar um modelo personalizado, garantir que o AD não permitisse que os usuários ingressassem em computadores que não pertencem à empresa ao domínio e garantir que a autoridade de certificação não tinha o plug-in que permite que máquinas sem domínio solicitem certificados de usuário.
Como existem boas razões não relacionadas à segurança para usar certificados de computador, o fato de que a maioria das pessoas fornece pouca ou nenhuma evidência, seja de que usar certificados de usuário seja seguro. No entanto, você tem uma restrição que eles não tiveram: por algum motivo, o software cliente VPN não pode usar certificados de computador. Eu suponho que você já tenha pesquisado isso completamente. A solução ideal seria mudar os clientes, mas isso seria caro. Portanto, você precisa fazer um teste quanto ao risco que os certificados de usuário apresentam.
A melhor maneira (e apenas totalmente segura) de fazer esse julgamento seria consultar um especialista, que definitivamente não sou eu. Venho adiando postar uma resposta na esperança de que alguém com a experiência apropriada faria isso, mas sem essa sorte. Então, pelo pouco que vale a pena, aqui está como eu olharia para isso. No entanto, se você tiver a opção de gastar uma quantia esperançosamente modesta em um consultor especialista, recomendo que o faça.
Eu só vejo duas maneiras pelas quais um usuário pode tentar ignorar as restrições sobre quais computadores ele pode usar. Eles poderiam tentar exportar seu certificado de usuário de uma máquina de domínio para uma máquina sem domínio. Ou podem tentar enganar a autoridade de certificação para que emita um certificado de usuário para uma máquina que não seja de domínio.
Eu fiz uma rápida pesquisa, e isso sugere que, embora os certificados de usuário sejam armazenados em arquivos aos quais o usuário tem acesso, eles são criptografados pelo serviço de isolamento de chave CNG. A menos que o usuário tenha acesso de administrador, isso deve impedir que as chaves sejam exportadas. (Se o usuário tiver acesso de administrador, eles presumivelmente poderiam facilmente exportar uma chave de computador como uma chave de usuário.)
Sou menos otimista quanto à segunda opção. Pelo que eu saiba, não há nenhuma promessa documentada de que a autoridade de certificação fará qualquer esforço para validar a identidade do computador quando uma chave de usuário estiver sendo gerada. O fato de que há um procedimento documentado para fazer isso, e você garantiu que o componente relevante não está instalado, não é uma boa evidência que essa é a única maneira possível.
Minha pesquisa sugere que as solicitações de certificado são feitas por meio do DCOM e que, embora as configurações padrão do DCOM não funcionem para um cliente que não seja de domínio tentando se conectar a um servidor de domínio, somente o cliente precisa ser reconfigurado para fazer uma conexão com sucesso. Obviamente, eu não tentei, mas em princípio eu acho que isso funcionaria.
Por outro lado, o cliente ainda precisa ser capaz de se conectar à CA para fazer a solicitação, e se o cliente estiver fora da rede, isso deve ser bloqueado pelo seu firewall. E considerando o contexto, eu diria que você já tem medidas para desencorajar a equipe de conectar computadores pessoais à rede de trabalho. Então, a partir dessa perspectiva, enquanto você talvez não esteja tão seguro quanto você poderia estar, você provavelmente está tão seguro quanto precisa, dependendo, é claro, do seu perfil de risco. (Eu estou indo supor que você não está executando um site de armas nucleares aqui.)
No final das contas, sua melhor proteção não será tecnológica de qualquer maneira. Desde que sua equipe esteja ciente da política e avisado que o uso da VPN está sendo registrado e monitorado, muito poucos é provável que tentem contornar as regras mesmo que tenham qualificação suficiente para encontrar uma maneira de fazê-lo.