OpenVPN - 我可以使用现有的 SSL 证书吗？

您打算如何进行客户端身份验证？您是否计划进行基于证书的客户端身份验证或其他？

我想知道我是否可以为此目的使用我现有的 SSL 证书？我这样做有什么优势吗？

是的，只要您的证书主题值与您的 OpenVPN 服务器的名称匹配，您可能就可以重新使用证书。

不过，这几乎可以肯定是个坏主意。这样做几乎没有优势。如果您尝试并不太熟悉 PKI 的工作原理，您可能会让事情变得更加困难和困惑。

无论如何，对于您的第一个 VPN 服务器，我强烈建议您在尝试使用外部 CA 或 3rd 方证书做任何花哨的事情之前遵循指南中的内容。OpenVPN 非常灵活，但最好坚持使用标准方法开始。

OpenVPN 客户端是否使用众所周知的根证书来检查服务器的证书，或者他们不使用此基础设施并且自签名证书可以正常工作？

通常在设置 OpenVPN 客户端时，除了建议的配置外，您还需要为客户端提供 CA 证书。

虽然这个答案比你原来的问题晚得多，但你的问题是我在谷歌上搜索 OpenVPN StartSSL 时出现的第一个链接，我希望我的经验可以帮助其他试图做同样事情的人。

经过一番尝试，我已经能够让 OpenVPN 与免费的 StartSSL 服务器和客户端证书一起工作，有效期为一年。

StartSSL 不允许在客户端使用其 Web 服务器 SSL/TLC 证书，因此我生成了多个 S/MIME 和身份验证证书（使用email+[clientname]@[mydomainname]）并从浏览器中导出它们。

我必须使用 openssl 将 S/MIME 和身份验证证书从 pfx 文件类型转换为密钥和证书。我按照这个指南。

然后我必须将客户端密钥和各种密钥/证书组合到一个 OVPN 文件中（我也使用了 ta 密钥）。我改编了其他人的脚本以从命令行执行此操作。代码在这里。

我最初被证书验证错误难住了，特别是：

验证错误：深度=0，错误=无法获取本地颁发者证书

对我来说，关键是下载ca.pem，sub.class1.server.ca.pem然后sub.class1.client.ca.pem从 StartSSL 将三者结合起来：

cat ca.pem sub.class1.server.ca.pem sub.class1.client.ca.pem > ca-COMBINED.pem

我在我的 server.conf 中为 OpenVPN 使用了这个，而且塞子不见了！

不，您不能那样使用您颁发的证书。OpenVPN 的工作原理是允许您颁发由您的服务器配置为信任的授权机构签署的证书，因此需要设置您自己的 CA。每个客户端都需要自己唯一的证书，如果配置正确，他们不会抱怨自签名。

我只是在一年前设置这个之后才设置这个并且忘记了如何去做，所以它在我的脑海中很新鲜。反正：

(1) 将各种证书等加载到您的 OpenVPN 服务器中。那是您从发行人那里获得的各种证书和密钥。用于服务器的证书应该将 CN 作为在外部使用的服务器的主机名。（取决于服务器软件，您可能还必须连接来自发行者的所有各种 .crt 文件并将它们加载到服务器中。）

(2) 将发行者的所有 .crt 文件通过 cat 组合成一个大文件。我有一个 Comodo 证书，所以像这样构建它：

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > all.crt

(3) 把那个大的证书文件作为 ca 部分。如果要内联它，请使用--certificates--。如果您使用的是单独的文件，则可以使用 ca=

(4) 创建一些随机的客户端证书和密钥。这假设您要使用密码身份验证，这就是我正在做的事情。

(5) 将客户端证书和密钥放入 conf 文件，内联或作为 cert= 和 key=。

(6) 试一试。

您这样做的原因是因为您有一个服务器运行多个您正在多路复用的服务。将自己的 CA 安装到所有客户端中是荒谬的，尤其是在您设置“家人和朋友”服务器时。