Ho una configurazione del gateway OpenVPN. Una CA è stata creata sullo stesso server con Easy-RSA.
Ogni client OpenVPN ha la propria coppia di chiavi di certificazione rilasciata con la suddetta CA. Il server ha il proprio certificato e una chiave privata.
Mentre il certificato e la chiave privata del client si trovano effettivamente sul lato client e vengono utilizzati nell'handshake di connessione, vedo come il server OpenVPN può identificare un client che si connette ad esso.
Ma la documentazione di OpenVPN afferma che è in corso l'autenticazione reciproca, il che significa che non solo il client è autenticato sul server, ma il server è autenticato (l'identità viene verificata) con il client. In che modo il client può verificare se il server è effettivamente il server a cui è destinato connettersi?
La mia ipotesi è che, poiché il client ha anche il cert della CA comune, quando il server presenterà il suo certificato, un client proverà a verificarlo con il certificato della CA. È così che saprà che il server è quello giusto?