Моя текущая настройка включала самоподписанный корневой CA, который затем подписал мой SSL/TLS CA и мой OpenVPN клиент CA. SSL/TLS CA подписывает сертификаты моих серверов, а OpenVPN клиент CA подписывает сертификаты OpenVPN клиентов.
Должен ли клиентский центр сертификации OpenVPN находиться в собственной иерархии, отдельно от корневого центра сертификации? Я обеспокоен тем, что если пользователь импортирует корневой центр сертификации и доверяет ему, кто-то с клиентским сертификатом OpenVPN, подписанным моим центром сертификации, сможет использовать этот сертификат для серверов, а затем стать доверенным без дальнейшего вмешательства пользователя. Если только я не упускаю что-то с keyUsage?
Используется OpenSSL.
решение1
Расширенное использование ключей — это то, что вам нужно.
Вы можете установить это наClient Authentication (OID: 1.3.6.1.5.5.7.3.2)