현재 설정에는 SSL/TLS CA와 OpenVPN 클라이언트 CA에 서명한 자체 서명 루트 CA가 포함되어 있습니다. SSL/TLS CA는 내 서버의 인증서에 서명하고 OpenVPN 클라이언트 CA는 OpenVPN 클라이언트의 인증서에 서명합니다.
OpenVPN 클라이언트 CA는 루트 CA와 별도로 자체 계층 구조에 있어야 합니까? 사용자가 루트 CA를 가져와 신뢰하는 경우 내 CA에서 서명한 OpenVPN 클라이언트 인증서를 가진 누군가가 해당 인증서를 서버에 사용한 다음 추가 사용자 개입 없이 신뢰할 수 있을지 걱정됩니다. 내가 뭔가를 놓치고 있지 않다면 keyUsage?
OpenSSL을 사용하고 있습니다.
답변1
향상된 키 사용이 당신이 추구하는 것입니다.
이것을 다음과 같이 설정할 수 있습니다.Client Authentication (OID: 1.3.6.1.5.5.7.3.2)