问如何在语法DSM上使用公共证书和OpenVPN？

EN

别干那事。

首先，OpenVPN自己的手册建议不要使用公共CA。OpenVPN将信任该CA发布的任何证书。我怀疑您是否希望第三方CA颁发的证书的任何持有者能够连接到您的VPN。

第二，将公共CA用于私人服务是没有意义的。由于VPN的优点，它是一种私有服务，不希望陌生人连接或信任您的服务。它有一个有效且方便的根证书分发点--连同VPN配置文件(可能是内置在其中的)，您必须将其分发给客户端。此外，它还有一个单独的证书存储区。所有这些都需要一个私有VPN。因此，与公共HTTPS相比，在VPN中使用私有CA并没有坏处，因为您分发了CA证书。顺便说一句，即使HTTPS对于私有CA也有一个有效的使用--在与VPN相同的位置上，用于客户端证书验证；在这种情况下，您仍然可以为服务器使用公共证书，但是客户端证书是用您的专用CA签名的。

第三，让我们以TLS Web Server为目的加密域验证证书。在正确设置OpenVPN中，您只能在服务器上安装这样的证书。客户端证书必须具有反向特性- TLS Web客户端用途。让我们不加密发出这样的证书。

OpenVPN的设计考虑了私有的、特殊的CA，只针对这个VPN。他们提供了一组脚本来创建这样一个CA，称为EasyRSA。它真的很容易使用。如果您不想使用它(而且您有一个合理的理由)，您可以使用其他东西来创建这个私有CA，例如，我们曾经使用MS认证服务。