En los certificados X.509 , hay Autoridades de certificación y Entidades finales . Una CA es un sistema / organización que posee un par de claves pública / privada y lo utiliza para emitir certificados , es decir, firmarlos. Un certificado vincula una identidad a una clave pública, y el trabajo de la CA es hacer valer dichos enlaces. Utiliza la clave pública de una CA para verificar la firma en un certificado. La clave pública de una CA puede, a su vez, vincularse al nombre de la CA en virtud de que se almacena en un certificado, firmado por una super-CA. Este proceso es recursivo, por lo que terminará, en la práctica, con cadenas de certificados comenzando con una "CA máxima" (normalmente llamada "CA raíz" o "ancla de confianza") en la que confía ex nihilo (está codificado en el software o en sus archivos de configuración), luego varios certificados, cada uno con la clave pública utilizada para verificar la firma en el siguiente. Todos los certificados de la cadena son necesariamente certificados de CA, excepto posiblemente el último.
El último certificado de la cadena se llama "entidad final" porque designa un sistema / organización que no está en el negocio de emitir certificados, sino que es "otra cosa", por ejemplo, un servidor VPN. Dado que la clave de entidad final no se usa para firmar otros certificados, el certificado de entidad final necesariamente aparece el último en la cadena, de ahí su nombre.
En una VPN , hay puntos finales y puertas de acceso . Un gateway es una máquina que acepta conexiones de otros sistemas (puntos finales y otros gateways) y reenvía el tráfico en nombre del sistema conectado. Un punto final no se complace en el reenvío; sólo ve su propio tráfico entrante y saliente. La documentación de StrongSwan comienza con un diagrama bastante autoexplicativo. Los puntos finales son servidores de aplicaciones y computadoras de escritorio, mientras que las puertas de enlace son elementos estructurales que enrutan datos.
Las puertas de enlace (y, posiblemente, algunos puntos finales) necesitan pares de claves privadas / públicas, y los otros sistemas deben poder verificar que una clave pública determinada es de hecho propiedad de una puerta de enlace o punto final específicos. Esto requiere PKI y certificados. Todos estos pares de claves de acceso y privada / pública se usan para "hacer VPN", ciertamente no para emitir certificados para otras personas, por lo que son todas entidades finales, en lo que respecta a X.509.
La certificación y la estructura VPN son ortogonales. Los certificados se utilizan para establecer enlaces entre nombres y claves públicas. No es necesario que una CA esté ubicada en un servidor que también sea un enrutador o puerta de enlace; en realidad, no es necesario que una CA esté en línea en absoluto. Además, no es necesario que una puerta de enlace actúe como una CA: la puerta de enlace está destinada a reenviar el tráfico de red, no a hacer declaraciones sobre la identidad de otros sistemas. Usted puede combinar ambos roles y hacer que una pasarela también sea una CA, pero esto es muy artificial, no es necesario de ninguna manera y aumentará la confusión.