Tengo una configuración de puerta de enlace OpenVPN. Se creó una CA en el mismo servidor con Easy-RSA.
Cada cliente OpenVPN tiene su propio par de claves de certificado emitido con la CA mencionada anteriormente. El servidor tiene su propio certificado y una clave privada.
Si bien el certificado y la clave privada del cliente se encuentran en el lado del cliente y se usan en el protocolo de enlace de la conexión, veo cómo el servidor OpenVPN puede identificar a un cliente que se conecta a él.
Pero la documentación de OpenVPN indica que hay una autenticación mutua, lo que significa que no solo el cliente se autentica en el servidor, sino que el servidor se autentica (se está verificando su identidad) con el cliente. ¿Cómo podría el cliente verificar si el servidor es de hecho el servidor al que se pretende conectar?
Mi suposición es que dado que el cliente también tiene su certificado de CA común, cuando el servidor presentará su certificado, un cliente intentará verificarlo con el certificado de CA. ¿Es así como sabrá que el servidor es el correcto?