Решение для клиентских сертификатов SSL с пользовательским самообслуживанием

Я управляю основанной на Linux сетью предприятий малого бизнеса. Информация пользователя централизованно хранится в каталоге OpenLDAP. Существует существующий CA, который в настоящее время используется для подписания сертификатов сервера. Этим управляют с помощью EasyRSA. Мой текущий проект состоит в том, чтобы установить VPN для удаленного доступа к сети, а также 802.1X основывал WiFi. Я хотел бы использовать клиентские сертификаты для обоих.

Я хотел бы избежать необходимости создавать каждый клиентский сертификат вручную. Идеально, был бы веб-сервис, который аутентифицирует пользователей против LDAP и позволяет им создавать клиентский сертификат со знаком без вмешательства администратора. Промежуточный CA для такого сервиса мог быть сделан.

Существует ли проект, бесплатный или коммерческий, который позволяет мне делать это? Идеально Linux базировался, так как это соответствовало бы существующей среде лучше всего. Во время исследования я наткнулся на OpenCA и EJBCA, и они кажутся высоконастраиваемыми. Но остается неясным, способно ли это к обеспечению этой функциональности.

Дополнение: я нашел руководство, упоминающее Службы сертификации Active Directory, который, кажется, в основном, в чем я нуждаюсь. Прокрутите вниз для "Генерации Пользовательского Сертификата в Windows 7", который показывает процесс. Однако, так как это не сеть окон, другое решение без Active Directory предпочтено.