<div dir="ltr">Hello,<br><br>After following Alexanders advice to use sssd/pam for OpenVPN with OTP I have it all working rather nice but with self signed certificates which is not ideal. <br><br>(This is actually amazing btw guys. Like wow. The QR-Codes and the OpenOTP android app. wtf??!! :)<br><br>I'm scratching around trying to find a way to provide server and client certificates but, to be honest, my understanding of certificates is not good enough to be able to take the leap. <br><br>I understand from previous discussions that client certificates are not yet supported in FreeIPA, instead I understand one can use "service certificates". From an OpenVPN standpoint I'm guessing this is fine because a vpn client can be entered in Freeipa as a client and a certificate generated for it. This might actually be a preferred model for VPN.<br><br>My OVPN server config looks like this:<br>ca ca.crt<br>cert server.crt<br>key server.key <br># Diffie hellman parameters.<br>dh dh2048.pem<br><br>I guess I can use the <div>"ipa-getcert request -f /path/to/server.crt -k /path/to/private.key -r"<br></div><div>command to generate the server.crt and private.key and I know where to find ca.crt however: </div><div>- How about the Diffie hellman parameters? </div><div>- Is dh2048.pem just a bunch of shared primes that enable the two parties to establish encryption together? </div><div>- Is it bad If this file is compromised?</div><div><br></div><div>Thanks,</div><div><br></div><div>Andrew</div><div><br></div><div><br></div><div><br></div><div><br></div></div>