Nei certificati X.509 , ci sono Autorità di certificazione e End Entities . Una CA è un sistema / organizzazione che possiede una coppia di chiavi pubblica / privata e la utilizza per emettere certificati , cioè firmarli. Un certificato associa un'identità a una chiave pubblica e il compito della CA è di asserire tali associazioni. Si utilizza la chiave pubblica di una CA per verificare la firma su un certificato. La chiave pubblica di un'Autorità di certificazione può, a sua volta, essere associata al nome della CA in virtù della loro memorizzazione in un certificato, firmato da una super-CA. Questo processo è ricorsivo, quindi finirai, in pratica, con catene di certificati che iniziano con una "CA finale" (normalmente chiamata "CA radice" o "ancora attendibile") di cui ti fidi ex nihilo (è hardcoded nel software o nei suoi file di configurazione), quindi un numero di certificati, ciascuno contenente la chiave pubblica utilizzata per verificare la firma sul successivo. Tutti i certificati nella catena sono necessariamente certificati CA, tranne forse l'ultimo.
L'ultimo certificato della catena viene quindi chiamato "end-entity" perché designa un sistema / organizzazione che non è nel business dell'emissione dei certificati, ma è "qualcos'altro", ad esempio un server VPN. Poiché la chiave dell'entità finale non viene utilizzata per firmare altri certificati, il certificato dell'entità finale appare necessariamente l'ultimo della catena, quindi il suo nome.
In una VPN , ci sono end-points e gateway . Un gateway è una macchina che accetta connessioni da altri sistemi (end-point e altri gateway) e inoltra il traffico per conto del sistema connesso. Un end-point non indulge nell'inoltro; vede solo il proprio traffico in entrata e in uscita. La documentazione di StrongSwan inizia con un diagramma piuttosto auto-esplicativo. Gli endpoint sono server applicativi e desktop, mentre i gateway sono elementi strutturali che instradano i dati.
I gateway (e, possibilmente, alcuni endpoint) hanno bisogno di coppie di chiavi private / pubbliche, e gli altri sistemi devono essere in grado di verificare che una determinata chiave pubblica sia effettivamente posseduta da uno specifico gateway o end-point. Ciò richiede PKI e certificati. Tutte queste coppie di chiavi gateway e private / pubbliche vengono utilizzate per "fare VPN", non certo per rilasciare certificati per altre persone, quindi sono tutte entità finali, per quanto riguarda X.509.
La certificazione e la struttura VPN sono ortogonali. I certificati vengono utilizzati per affermare i collegamenti tra nomi e chiavi pubbliche. Non è necessario che una CA si trovi su un server che è anche un router o un gateway; in realtà non è necessario che una CA sia online . Inoltre, non è necessario che un gateway agisca come CA: il gateway ha lo scopo di inoltrare il traffico di rete, non di fare dichiarazioni sull'identità di altri sistemi. Tu puoi confondere entrambi i ruoli e rendere un gateway anche un CA, ma questo è molto artificiale, non è necessario in alcun modo, e aumenterà la confusione.