> Ну с чего им быть дырявым, если все копипастят именно этот образец? Видимо все-таки не этот - потому что вот это вот приходилось самому вписывать в случаях когда конфиг выдавали другие. Я не знаю как так у них получается, но эффект имеет место быть.
> чо - самому что ли писать, с нуля? Ты еще скажи, что
> индус вообще знает, что туда написать-то.
Немного знать приходится. Потому что иначе или нифига не работает или саппорт на ушах стоит. А под именно openvpn появилось к тому же несколько странных полусовместимых реализаций, умеющих не все фичи (e.g. микротики) или очень странное понимание как и что должно работать (кто-то из клиентов зачем-то требует клиентский серт с валидным привкеем с ножом к горлу если уж используется PKI - и просто не работает если не дать ему это, на радость саапортам).
> Теи более что ни синтаксис, ни семантика ни разу не являются простыми и очевидными.
Да обычный там синтаксис, по сути то же что в командлайне, только в конфиге.
> сертификат (или вовсе chain) там и должен быть полноценный, как еще-то? Приватный
> ключ в нем при этом - не нужен, юзверь все равно от него пароль не знает,
Некоторые клиенты хотят сертификат _клиента_ и непременно с приватным ключом (от этого серта) - иначе не работает. Саппорты встают на уши. Это маки, чтоли, так прикалываются с встроенной реализацией, или типа того. Ну и вот это вот безобразие - вполне катит как "сертификат сервера" если в конфиг проверку не вписать.
А общая ситуация с таким сочетанием свойств приводит к тому что почему-то дофига небезопасных конфигураций в диком виде. SSL/TLS и PKI довольно сложны для понмиания и секурно их использовать умеют единицы.
> и вводить его некуда. Нужен только ключ от юзерского сертификата.
Конечно. Так этот сертификат без упомянутой проверки и катит за серверный. Ключ от него есть, проверку типа серта почему-то часто не прописывают. Я не знаю, может это какие-то тулзы или скрипты индусам генерят, или типа того. Но факты штука упрямая.