我来帮你梳理下这个问题的解决思路，刚好你提到的细节我都留意到啦～

你说查看Netplan官方文档时只找到了客户端证书相关配置，却没看到机器证书的对应选项——确实，目前Netplan的公开文档里对OpenConnect的mca-certificate（也就是你说的openconnect命令行的--mca-certificate、NetworkManager的mcacert）参数覆盖得不够全面，但我们可以通过两种适配方式来实现需求：

• 若你的Netplan配置使用NetworkManager作为渲染器（配置中声明renderer: NetworkManager），可以直接在OpenConnect的配置块里添加mcacert参数。Netplan会自动将这个参数映射到NetworkManager的对应配置项，和你熟悉的NetworkManager配置逻辑完全一致。示例配置如下：

  network:
    version: 2
    renderer: NetworkManager
    ethernets:
      eth0:
        dhcp4: true
    vpn:
      - id: your-vpn-name
        type: openconnect
        openconnect:
          gateway: your-vpn-gateway.example.com
          mcacert: pkcs11:slot-id=0;object=SmartcardMachineCert  # 智能卡证书用PKCS#11 URI，本地证书填文件路径
          # 按需添加其他配置：比如用户名、客户端证书等
  

  注意：智能卡的证书路径通常不是普通文件路径，而是PKCS#11标准的URI，需要根据你的智能卡插槽ID、证书对象名来填写正确值。

• 若你使用networkd作为渲染器，Netplan对OpenConnect的原生配置项支持有限，这时候可以通过extra-options参数直接传递openconnect的命令行参数--mca-certificate。示例配置：

  network:
    version: 2
    renderer: networkd
    ethernets:
      eth0:
        dhcp4: true
    vpn:
      - id: your-vpn-name
        type: openconnect
        openconnect:
          gateway: your-vpn-gateway.example.com
          extra-options: "--mca-certificate pkcs11:slot-id=0;object=SmartcardMachineCert"
          # 按需添加其他配置
  

这样配置后，Netplan在生成并应用VPN配置时，就会带上机器证书的指定参数，满足你使用智能卡证书的需求啦。

备注：内容来源于stack exchange，提问作者Kempe