Autenticación mutua en OpenVPN

2

Tengo una configuración de puerta de enlace OpenVPN. Se creó una CA en el mismo servidor con Easy-RSA.

Cada cliente OpenVPN tiene su propio par de claves de certificado emitido con la CA mencionada anteriormente. El servidor tiene su propio certificado y una clave privada.

Si bien el certificado y la clave privada del cliente se encuentran en el lado del cliente y se usan en el protocolo de enlace de la conexión, veo cómo el servidor OpenVPN puede identificar a un cliente que se conecta a él.

Pero la documentación de OpenVPN indica que hay una autenticación mutua, lo que significa que no solo el cliente se autentica en el servidor, sino que el servidor se autentica (se está verificando su identidad) con el cliente. ¿Cómo podría el cliente verificar si el servidor es de hecho el servidor al que se pretende conectar?

Mi suposición es que dado que el cliente también tiene su certificado de CA común, cuando el servidor presentará su certificado, un cliente intentará verificarlo con el certificado de CA. ¿Es así como sabrá que el servidor es el correcto?

    
pregunta Maxim V. Pavlov 24.08.2015 - 17:32
fuente

1 respuesta

2

Sí, tu adivinación es correcta. OpenVPN tiene una función de gestión de certificados incorporada. Este es el rol de Easy-RSA, supongo que ya lo sabes. Easy-RSA es un paquete de administración de claves RSA basado en OpenSSL. Le permite crear su propia CA raíz y generar y administrar los pares de certificados / claves del cliente y el par de certificados / claves del servidor. Entonces la autenticación mutua (autenticación bidireccional) está fuera de la caja.

El caso será diferente si intenta utilizar una CA externa. Por ejemplo, si desea utilizar herramientas de terceros para la administración de PKI de X509. En este caso, el servidor de acceso OpenVPN no administrará certificados de clientes directamente. El software externo CA PKI se utilizará para generar y distribuir pares de certificados / claves a las máquinas cliente, y un par de certificados / claves de servidor al servidor OpenVPN.

    
respondido por el Ubaidah 24.08.2015 - 20:28
fuente

Lea otras preguntas en las etiquetas