OpenVPN Server и Windows CA?

Question

[Дмитрий]

Добрый день!

Необходимо заставить работать следующую связку:
Контроллер домена Windows Server 2012 R2, на нем же CA;
OpenVPN сервер на Debian;
Авторизация на OpenVPN по LDAP и ключам, ключи создаются на CA;
Клиенты OpenVPN не в домене.

Эта схема работоспособная?
Не могу найти ни одной нормальной инструкции на этот счет.

Comments

[ldv]

может проще sstp использовать тогда?

[Дмитрий]

ldv: Обязательное условие - нужна 2FA, а на SSTP ее вроде бы никак не сделать. Хотя я давно последний раз этот вопрос изучал - поправьте, если ошибаюсь.

Answer 1

[mureevms]

Эта схема работоспособная?

Вполне.

Есть статья на Хабре с очень подробным описанием настройки CA и генерации ключей. Единственное, там используется не Windows, но если у Вас есть свой виндовый CA, то проблемы это не должно составить. Затем копируете созданные ключи и запускаете OpenVPN сервер.
Вообще, советую начинать настройку самого OpenVPN по моей статье, т.к. на хабре она сильно уж сложная и запутанная для начинающего.
Итого:
Что касается CA, ключей и сертификатов - смотрите статью на Хабре
Настройка OpenVPN - тут
Авторизацию в AD - тут

Comments

[Дмитрий]

Спасибо за ответ!
OpenVPN у меня в общем-то уже работает, LDAP авторизация тоже. Сложности возникли как раз с сертификатами. В случае локального CA все понятно и просто. В случае доменного виндового CA у меня проблема со сверкой сертификата клиента на стороне сервера. В обратную сторону все работает.
И я пока не совсем понимаю, где в настройках OpenVPN сервера указывается адрес сервера CA? Буду благодарен за подсказку.

[mureevms]

> где в настройках OpenVPN сервера указывается адрес сервера CA?
Ни где, его не надо указывать.
Общий принцип таков:
1. Создаете на хосте с OVPN сервером файл закрытого ключа (.key) и запрос на сертификат (.req)
2. Передаете .req файл на хост с CA.
3. CA выпускает сертификат и подписывает его.
4. Передаете сертификат на OVPN сервер.
Все хорошо показано в статье на Хабре в разделе "Создание удостоверяющего центра CA". Настоятельно рекомендую к прочтению. К тому же, посмотрите последнюю ветку комментов, там человек спрашивал про виндовый CA