Mein aktuelles Setup umfasste eine selbst signierte Stammzertifizierungsstelle, die dann meine SSL/TLS-Zertifizierungsstelle und meine OpenVPN-Client-Zertifizierungsstelle signiert hat. Die SSL/TLS-Zertifizierungsstelle signiert die Zertifikate meiner Server und die OpenVPN-Client-Zertifizierungsstelle signiert die Zertifikate der OpenVPN-Clients.
Sollte die OpenVPN-Client-CA in einer eigenen Hierarchie stehen, getrennt von der Stamm-CA? Ich mache mir Sorgen, dass, wenn ein Benutzer die Stamm-CA importiert und ihr vertraut, jemand mit einem von meiner CA signierten OpenVPN-Client-Zertifikat dieses Zertifikat für Server verwenden und dann ohne weiteres Eingreifen des Benutzers als vertrauenswürdig eingestuft werden könnte. Es sei denn, ich übersehe etwas mit keyUsage?
Es wird OpenSSL verwendet.
Antwort1
Sie suchen die erweiterte Schlüsselnutzung.
Sie können dies so einstellen:Client Authentication (OID: 1.3.6.1.5.5.7.3.2)