In che modo un client verifica che il certificato del server OpenVPN sia stato firmato dalla CA principale?
In base ai client di installazione OpenVPN vengono solitamente forniti solo il proprio certificato, la chiave privata e il certificato CA.
In che modo un client verifica che il certificato del server OpenVPN sia stato firmato dalla CA principale?
In base ai client di installazione OpenVPN vengono solitamente forniti solo il proprio certificato, la chiave privata e il certificato CA.
Come già detto da David Houde, OpenVPN di solito utilizza una singola CA per firmare sia i certificati client che i certificati server. Se hai problemi a capire come funzionano i certificati di firma / verifica, dovresti leggere Uso del digitale certificati in firme digitali prima.
Se il client riceve un certificato del server, controlla semplicemente se questo certificato è stato firmato dalla CA che gli è stata fornita. Se il controllo ha esito positivo, il server è accettato.
Di solito il certificato del server contiene anche un parametro per l'uso esteso della chiave denominato "Autenticazione del server Web TLS". Questo parametro può essere controllato aggiungendo la seguente dichiarazione alla configurazione di OpenVPN:
remote-cert-eku "Autenticazione del server Web TLS"
Viene utilizzato per garantire che il certificato del server fornito al client sia effettivamente quello che dichiara di essere. Altrimenti un altro client potrebbe identificarsi come server, poiché la stessa CA firma entrambi i tipi.
Leggi altre domande sui tag openvpn