J’ai très fortuitement découvert une fonctionnalité dans OpenVPN permettant non plus de charger le certificat utilisateur depuis un fichier non chiffré (ou dont le chiffrage présente très peu d’intérêt) mais directement depuis le magasin de certificats Windows, rendant ainsi très difficile l’extraction du certificat une fois installé.
C’est entre autre pratique dans les cas suivants :
- environnement multi-administrateur
- vol
- faible contrôle sur la machine physique
Cela se fait via le paramètre cryptoapicert , et remplace logiquement les paramètres cert et key . Il s’utilise de la manière suivante :
- En précisant le sujet du certificat à utiliser : cryptoapicert « SUBJ:Peter Runestig »
- En précisant l’empreinte du certificat à utiliser : cryptoapicert « THUMB:f6 49 24 41 01 b4 … »
Note : OpenVPN dans sa version 2.3 ne supporte toujours pas les certificats encore exotiques, comme ceux utilisant des courbes elliptiques. Il faudra se limiter à du classique RSA/SHA1.