Аутентификация на основе SSH-ключа для VPN-сервера

Я хотел бы настроить VPN-сервер для наших пользователей, который позволяет им аутентифицироваться с каждым ключом в ~/.ssh/authorized_keys.

• Я знаю, что Wireguard также использует SSH-ключи, но как я могу сказать ему, что он принимает пользователя? authorized_keys? Запрашивать все возможные открытые ключи каждый раз, когда пользователь меняет свои authorized_keys не вариант.
• Openvpn имеет auth-user-pass, но это неудобно.
• Кроме того, сертификаты OpenVPN в основном такие же, как ключи SSH, но они должны быть подписаны из CA OpenVPN.
  Могу ли я каким-то образом указать OpenVPN принимать неподписанные сертификаты, если они находятся в какой-либо базе данных?

Ты хоть представляешь, как это правильно сделать?