Autenticazione reciproca in OpenVPN

2

Ho una configurazione del gateway OpenVPN. Una CA è stata creata sullo stesso server con Easy-RSA.

Ogni client OpenVPN ha la propria coppia di chiavi di certificazione rilasciata con la suddetta CA. Il server ha il proprio certificato e una chiave privata.

Mentre il certificato e la chiave privata del client si trovano effettivamente sul lato client e vengono utilizzati nell'handshake di connessione, vedo come il server OpenVPN può identificare un client che si connette ad esso.

Ma la documentazione di OpenVPN afferma che è in corso l'autenticazione reciproca, il che significa che non solo il client è autenticato sul server, ma il server è autenticato (l'identità viene verificata) con il client. In che modo il client può verificare se il server è effettivamente il server a cui è destinato connettersi?

La mia ipotesi è che, poiché il client ha anche il cert della CA comune, quando il server presenterà il suo certificato, un client proverà a verificarlo con il certificato della CA. È così che saprà che il server è quello giusto?

    
posta Maxim V. Pavlov 24.08.2015 - 17:32
fonte

1 risposta

2

Sì, la tua ipotesi è corretta. OpenVPN ha una funzione di gestione dei certificati integrata. Questo è il ruolo di Easy-RSA, immagino che tu lo sappia già. Easy-RSA è un pacchetto di gestione delle chiavi RSA basato su OpenSSL. Consente di creare la propria CA radice e generare e gestire le coppie di certificati / chiavi del client e il certificato / coppia di chiavi del server. Quindi l'autenticazione reciproca (autenticazione bidirezionale) è fuori dagli schemi.

Il caso sarà diverso se si tenta di utilizzare una CA esterna. Ad esempio, se si desidera utilizzare strumenti di terze parti per la gestione PKI X509. In questo caso, il server di accesso OpenVPN non gestirà direttamente i certificati client. Il software CA PKI esterno verrà utilizzato per generare e distribuire coppie di certificati / chiavi su macchine client e una coppia di certificati / chiavi del server sul server OpenVPN.

    
risposta data 24.08.2015 - 20:28
fonte

Leggi altre domande sui tag