Mi sistema de software está ejecutando una infraestructura en la nube donde tener máquinas Linux con VPN en la puerta de enlace OpenVPN es un requisito de configuración. Además, puede haber casos en que el software en las máquinas Linux mencionadas anteriormente tenga que acceder a la infraestructura de la nube cuando no esté conectado a la VPN en la puerta de enlace.
Durante la configuración de la puerta de enlace OpenVPN, he creado una autoridad de certificación local (a través de easy-rsa) para emitir certificados de cliente para que OpenVPN cifre el tráfico y se autentique.
Ahora generalmente necesito identificar una máquina cliente que se conecte a mi Node.js (o cualquier otro, para el caso). Me pregunto si podría usar los certificados emitidos por OVPN para esto. Si el cliente que se conecta a un backend puede presentar un certificado, entonces sé quiénes son y servirá los recursos necesarios.
¿Es esta una buena práctica hacerlo? La otra alternativa sería dejar los certificados de OpenVPN y tener otra capa de autorización para las máquinas cliente, pero parece ser una duplicación dado que ya tengo una CA y certificados en el lado del cliente.