使用 SSL 认证的简单 OpenVPN 设置。
SSL 设置:根 CA > 中间 CA > 颁发 CA
所有证书(vpn-server 和 -clients)均由“Issuing-CA”颁发。
ca ca.pem我尝试在 openvpn(服务器和客户端)配置中使用 Issuing-CA 的证书作为 OpenVPN参数。
这不起作用。
我必须将完整的证书链添加到ca.pem。然后它就起作用了。
我以为ca参数指定值得信赖CA。我不想包含整个证书链,因为我觉得没有必要!相反,这对我来说似乎很危险,因为根 CA 和中间 CA 可以为 VPN 中使用的 CN 颁发证书!我会将此归类为安全风险。
有没有办法将信任锚设置为非根 CA?