我目前的設定涉及一個自簽名根 CA,然後該根 CA 簽署了我的 SSL/TLS CA 和 OpenVPN 用戶端 CA。 SSL/TLS CA 簽署我的伺服器的證書,OpenVPN 用戶端 CA 簽署 OpenVPN 用戶端的憑證。
OpenVPN 用戶端 CA 是否應該位於自己的層級結構中,與根 CA 分開?我擔心如果使用者匯入根 CA 並信任它,則擁有由我的 CA 簽署的 OpenVPN 用戶端憑證的人可以將該憑證用於伺服器,然後無需任何進一步的使用者乾預即可受到信任。除非我錯過了什麼keyUsage?
正在使用 OpenSSL。
答案1
增強的密鑰使用正是您所追求的。
您可以將其設定為Client Authentication (OID: 1.3.6.1.5.5.7.3.2)