我想为我的个人使用安装OpenVPN服务器。 我拥有域名,并且拥有该域的有效SSL证书(由StartSSL颁发)。
在OpenVPN的设置说明的开始部分,有一节描述了我自己的证书颁发机构的生成,这个证书颁发机构稍后用于发布自签名证书。
我想知道是否可以使用我现有的SSL证书? 我有这样的优势吗?
例如,我使用此证书作为邮件服务器SSL,邮件客户端不会抱怨自签名证书。 OpenVPN客户端使用众所周知的根证书来检查服务器的证书,或者他们没有使用这个基础设施,自签名证书会正常工作吗?
你打算如何做客户端authentication? 你打算做基于证书的客户端authentication,还是其他的?
我想知道是否可以使用我现有的SSL证书? 我有这样的优势吗?
是的,只要您的证书主题值与您的OpenVPN服务器的名称相匹配,您可能就可以重新使用证书。
这几乎肯定是个坏主意。 这样做几乎没有优势。 如果你尝试了,你可能会让自己变得更加困难和困惑,而且你对PKI的工作方式不是很了解。
在任何情况下,对于您的第一个VPN服务器,我强烈build议遵循本指南,因为在您尝试对外部CA或第三方证书进行任何操作之前,必须先撰写该指南。 OpenVPN是非常灵活的,但最好坚持用标准方法启动。
OpenVPN客户端使用众所周知的根证书来检查服务器的证书,或者他们没有使用这个基础设施,自签名证书会正常工作吗?
通常,在设置OpenVPN客户端时,除了build议的configuration之外,还要为客户端提供CA证书。
虽然这个答案比你原来的问题晚得多,但是你的问题是当我searchOpenVPN StartSSL时出现的第一个链接,我希望我的经验可以帮助别人试图做同样的事情。
稍微玩一下,我就可以让OpenVPN使用一年有效期的免费的StartSSL服务器和客户端证书。
StartSSL不允许在客户端使用其Web服务器SSL / TLC证书,所以我生成了多个S / MIME和身份validation证书(使用email+[clientname]@[mydomainname] ),并从浏览器中导出它们。
我不得不使用openssl将pfx文件types的S / MIME和身份validation证书转换为密钥和证书。 我遵循这个指南 。
然后,我不得不将客户端密钥和各种密钥/证书结合到一个OVPN文件中(我也使用了ta键)。 我从命令行调整了别人的脚本。 代码在这里 。
我最初被证书validation错误难住,特别是:
validation错误:深度= 0,错误=无法获得本地颁发者证书
对我来说,关键是从StartSSL下载ca.pem , sub.class1.server.ca.pem和sub.class1.client.ca.pem ,然后结合三个:
cat ca.pem sub.class1.server.ca.pem sub.class1.client.ca.pem > ca-COMBINED.pem
我在我的server.conf中使用这个OpenVPN和chocks不在了!
不,你不能使用你的证书。 OpenVPN的工作原理是允许你签发由你的服务器configuration信任的权威签署的证书,因此需要build立你自己的CA. 每个客户端都需要自己的唯一证书,如果configuration正确,他们不会抱怨自签名。