Fragen betr. OpenVPN und Fragen betr. Client Zertifikate

[minimike]

Hi

Ich beschäftige mich gerade was mit OpenVPN. Der OpenVPN Server läuft, nun zu den Clienten. Was ich nicht so ganz verstehe ist die Sache mit den Zertifikaten. Angenommen ich habe 10 Clienten, muss ich jetzt 10 verschiedene Zertifikate anlegen? Die Serverzertifikate sind bei CaCert signiert und dürfen auf keinen Fall raus. Oder kann der Inhaber des Clienten sich sein Zertifikat bei einem CA seines Vertrauens holen? Und was ich auch noch nicht ganz verstanden habe ist das neben SSL noch nach Username und Passwort (kein LDAP) abgefragt werden muss. Wie bringe ich dem Server das so bei?

[Duff]

Den Fall mit Abfrage nach usernamen und passwort auf den Clients, kann auf dem Server so konfiguriert werden (wobei mir allerdings die Sicherheitsaspeckte noch nicht so ganz klar sind).

https://www.debianforum.de/forum/viewto ... 0&t=107456

Habs ausprobiert, und mit falschem oder gar keinem Passwort funktioniert die Verbindung von den Clients zum Server nicht.
Im Logfile auf dem Server kann man dies sehen. Zusätzlich sieht man bei einer erfolgreichen Anmeldung das Passwort im Klartext.

[minimike]

Was ich auch noch nicht verstanden habe ist das mit der Zertifikatauthentifizierung. Also Server und Clientzertifikat wurden bei CaCert auf dem selben Konto erstellt. Kann ich mich jetzt nur mit diesem Clientzertifikat anmelden oder mit jedem das z.B. bei CaCert erstellt wurde? Letzeres sollte vermieden werden.