Estoy creando una red que permitirá a los empleados y clientes acceder a la red. Sistemas de la empresa. Para ello estoy usando un servidor Red Hat Enterprise Linux (RHEL) 7.0 como servidor de firewall / autenticación. Inicialmente, para fines de prueba, voy a utilizar certificados autofirmados. El escenario operativo es el sistema cliente (Windows 7/8) que establece un VPN / IKEv2 sesión con el servidor.
Tengo que distribuir un certificado de cliente de clave pública a los sistemas Windows. ¿También tengo que definir un certificado de servidor, que contiene la clave privada? Aquí es donde me confundo un poco, porque he visto tantas variantes: He visto el campo de Uso de clave extendido configurado tanto para clientAuth como serverAuth; sólo a clientAuth; o simplemente a serverAuth.
Mi suposición es que el cliente, al intentar establecer una sesión VPN / IKEv2 con el servidor, debe estar "autorizado" por el servidor si el cliente envía la clave pública "correcta". Entonces, ¿debería establecer el EKU en el certificado de servidor en clientAuth? o serverAuth? ¿o ambos? (lo que no tiene ningún sentido para mí)