我当前的设置涉及一个自签名根 CA,然后它已对我的 SSL/TLS CA 和我的 OpenVPN 客户端 CA 进行签名。SSL/TLS CA 对我的服务器的证书进行签名,而 OpenVPN 客户端 CA 则对 OpenVPN 客户端的证书进行签名。
OpenVPN 客户端 CA 是否应位于其自己的层次结构中,与根 CA 分开?我担心,如果用户导入根 CA 并信任它,那么拥有由我的 CA 签名的 OpenVPN 客户端证书的人就可以将该证书用于服务器,然后无需任何进一步的用户干预即可获得信任。除非我遗漏了什么keyUsage?
正在使用 OpenSSL。
答案1
增强密钥使用就是您所追求的。
您可以将其设置为Client Authentication (OID: 1.3.6.1.5.5.7.3.2)