Minha configuração atual envolveu uma CA raiz autoassinada, que assinou minha CA SSL/TLS e minha CA cliente OpenVPN. A CA SSL/TLS assina os certificados dos meus servidores e a CA do cliente OpenVPN assina os certificados dos clientes OpenVPN.
A CA cliente OpenVPN deve estar em sua própria hierarquia, separada da CA raiz? Estou preocupado que, se um usuário importar a CA raiz e confiar nela, alguém com um certificado de cliente OpenVPN assinado pela minha CA poderá usar esse certificado para servidores e ser confiável sem qualquer intervenção adicional do usuário. A menos que esteja faltando alguma coisa com keyUsage?
OpenSSL está sendo usado.
Responder1
Uso aprimorado de chave é o que você procura.
Você pode definir isso comoClient Authentication (OID: 1.3.6.1.5.5.7.3.2)