很多用户客户端在 ccd 中使用 TLS 证书,但是如何保证生成的证书是唯一的呢?假设我知道你的 ccd 名称,我可能会以你的名字生成一个新的证书。如何避免这种情况?
答案1
中的文件以(ccd命名CN通用名称) 证书字段,因此本质上你是在问“如何确保我的 VPN 证书中没有出现重复的 CN”。
CA 的职责是确保证书正确无误,证书中的所有信息均有效。证书颁发机构的唯一目的是:签署证书,从而证明证书内容的有效性。因此,你的工作作为VPN CA运营商,在颁发之前要检查一切。
为了实现这一点,SSL CA 软件允许对证书中可以包含的数据设置各种限制。例如,如果您使用 OpenVPN 的 EasyRSA 进行 CA 管理,默认情况下,它将阻止颁发具有相同 CN 的两个同时有效的证书。换句话说,如果您拥有 的证书CN=user,CN=user除非您撤销(使)以前的证书无效。(要使此功能完全正常工作,您必须crl-verify在 VPN 服务器配置中使用。)其他 CA 解决方案也允许相同类型的限制;对于一种情况,我们使用了 MS AD 认证服务,并且它按预期工作。
如果您有权访问 CA,则可能会做一些恶意的事情,例如更改配置或克隆 CA 存储(对于 EasyRSA 来说,这是一个目录)并颁发“杂散”证书。这就是为什么您必须密切关注您的 CA,不要让陌生人访问它。将其存储在加密驱动器上,单独存储 CA 私钥,使用令牌等等。这又是你的确保一切安全的责任。