¿Cómo verifica un cliente que el certificado de servidor OpenVPN fue firmado por la CA maestra?
Basados en la configuración de OpenVPN, los clientes generalmente se suministran con su propio certificado y clave privada y certificado de CA.
¿Cómo verifica un cliente que el certificado de servidor OpenVPN fue firmado por la CA maestra?
Basados en la configuración de OpenVPN, los clientes generalmente se suministran con su propio certificado y clave privada y certificado de CA.
Como ya dijo David Houde, OpenVPN generalmente usa una única CA para firmar certificados de cliente y servidor. En caso de que tenga problemas para entender cómo funcionan los certificados de firma / verificación, debe leer Uso de digital Certificados en firmas digitales primero.
Si el cliente recibe un certificado de servidor, simplemente verifica si este certificado fue firmado por la CA que se le proporcionó. Si la verificación tiene éxito, se acepta el servidor.
Por lo general, el certificado del servidor también contiene un parámetro para el uso de claves extendidas denominado "Autenticación del servidor web TLS". Este parámetro se puede verificar agregando la siguiente declaración a su configuración de OpenVPN:
remote-cert-eku "Autenticación de servidor web TLS"
Esto se usa para garantizar que el certificado de servidor proporcionado al cliente sea realmente lo que dice ser. De lo contrario, otro cliente podría identificarse como servidor, ya que la misma CA firma ambos tipos.
Lea otras preguntas en las etiquetas openvpn