我正在使用 TLS 设置第二个 OpenVPN 服务器,因此我有一个关于 CA 的问题。我应该为每台服务器创建一个单独的 CA 还是使用相同的 CA?
为什么?
两台服务器都将服务于相同的客户端网络。
谢谢!
答案1
您应该使用相同的 CA 并确保其安全(因为任何破坏它的人都可以为其颁发证书并执行 MITM 攻击)。您可以考虑将计算机置于离线状态并仅将其用于此目的。
只要仅供内部使用,自签名证书就可以正常工作。请记住,您必须在所有客户端上安装 CA 根证书。
编辑:至于标题中的问题,CA从不代表单个服务器。它代表一个公司,或者一个部门。 (这里“代表”的意思是“能够将证书交付给”)。
答案2
你的问题让我害怕。一般来说,您不会为 VPN 服务创建 CA。
您请求 CA 签署 CSR(证书签名请求),以便对您尝试实施的 TLS 协议执行拒绝。
我相信您真正询问的是 x.509 证书,或者具体来说“我应该为每个服务器创建单独的 x.509 证书还是使用相同的证书?”
如果我是正确的并且这就是您所要求的,您可能需要研究“通配符证书”类型。这种类型允许您创建并由 CA(证书颁发机构)签署一个可在多个服务器上使用的 x.509 证书。
答案3
CA是权威机构。不多也不少。这与服务器没有绝对的联系。
从某种程度上来说,CA 是一个非常大的老板。 CA(位于上方)> 服务器 > 客户端。
此外,如果您的客户端可以连接 2 台服务器,且没有排除等情况,请仅使用一个 CA。这是完全正常的。