Eu configurei um servidor OpenVPN no Debian / jessie, que usa autenticação de usuário / senha (obtida via LDAP) para conceder aos meus usuários acesso à VPN.
A configuração deliberadamente não usa certificados de cliente.
É claro que o servidor possui um certificado com o nome do host vpn.example.com como o assunto.
Para iniciar a sessão TLS, o servidor e os clientes compartilham um% comum CA , que é usado para assinar o certificado do servidor.
Até agora, configurei minha própria PKI para assinar meus próprios certificados de servidor e compartilhei minha própria chave de autoridade de certificação pública com todos os clientes.
Isso me parece incômodo, pois eu terei que distribuir um novo certificado CA para todos os clientes, sempre que o certificado expirar.
Também requer que eu distribua pelo menos dois arquivos: a própria configuração e o certificado que acompanha, o que torna a implantação pelos usuários mais propensa a erros (ao contrário de um simples: "copie esse arquivo de configuração nesse diretório").
Em vez disso, gostaria de usar algumas PKI públicas e conhecidas (por exemplo, permite criptografar / ACME) para assinar o certificado do meu servidor. Como todos os clientes já aceitam o comando lets-encryption, isso deve permitir que os clientes autentiquem com somente seu nome de usuário / senha (e nenhuma chave CA tipo "token").
Infelizmente, parece que o OpenVPN requer um CA-certificate explícito (tanto no servidor quanto no cliente).
Existe uma maneira de fazer com que o openvpn confie em um certificado de servidor se ele foi assinado por alguma autoridade de certificação que já seja confiável em todo o sistema?