現在のセットアップには自己署名ルート CA が含まれており、このルート CA が SSL/TLS CA と OpenVPN クライアント CA に署名しています。SSL/TLS CA はサーバーの証明書に署名し、OpenVPN クライアント CA は OpenVPN クライアントの証明書に署名します。
OpenVPN クライアント CA は、ルート CA とは別の独自の階層に配置する必要がありますか? ユーザーがルート CA をインポートして信頼すると、自分の CA によって署名された OpenVPN クライアント証明書を持つユーザーがその証明書をサーバーに使用でき、それ以上のユーザーの介入なしに信頼される可能性があるのではないかと心配しています。何か見落としているのでしょうかkeyUsage?
OpenSSLが使用されています。
答え1
拡張キー使用法こそがあなたが求めているものです。
これを設定することができますClient Authentication (OID: 1.3.6.1.5.5.7.3.2)