Mi configuración actual involucró una CA raíz autofirmada, que luego firmó mi CA SSL/TLS y mi CA cliente OpenVPN. La CA SSL/TLS firma los certificados de mis servidores y la CA del cliente OpenVPN firma los certificados de los clientes OpenVPN.
¿La CA del cliente OpenVPN debería estar en su propia jerarquía, separada de la CA raíz? Me preocupa que si un usuario importa la CA raíz y confía en ella, alguien con un certificado de cliente OpenVPN firmado por mi CA podría usar ese certificado para servidores y luego ser confiable sin ninguna intervención adicional del usuario. ¿A menos que me falte algo keyUsage?
Se está utilizando OpenSSL.
Respuesta1
El uso de claves mejorado es lo que busca.
Puedes configurar esto enClient Authentication (OID: 1.3.6.1.5.5.7.3.2)