ssl - 我可以使用其证书已由 OpenVPN 根 CA 签署的外部从属 CA,然后使用它来颁发客户端证书吗?
问题描述
我是 OpenVPN 的新手。我的团队设置了一个 VPN 服务器,我们用它来访问安装在不同网络上的物理网关(接入点)。我们在 VPN 服务器上使用 openssl 命令为这些网关手动生成证书,然后将它们安装在网关上。每个网关(客户端)都分配有一个隧道 IP,我们使用它来访问网关。PKI 中只有一个 CA 是根证书颁发机构。我们希望摆脱手动生成客户端证书的过程。为了使流程自动化,我们使用 AWS Certificate Manager Private Certificate Authority链接创建一个从属 CA 并使用 VPN 服务器上的根 CA 签署它的证书。然后我们导入了从属 CA 证书,现在正在使用此 CA 颁发网关证书。客户端证书和证书链与私钥一起安装在网关上。
- 既然证书不是使用根 CA 直接生成的,是否可以在网关和 VPN 服务器之间建立通信。
- 服务器能否通过证书链验证网关证书?我注意到没有分配给网关的隧道 IP。
- 这需要对 VPN 服务器进行任何配置更改吗?
有人可以指导我吗?我将不胜感激任何帮助。
解决方案
推荐阅读
- java - Cucumber:如何定义一个只有字母的字符串作为给定
- python - 如何在 ODOO 中动态更改 Many2one 字段的域
- javascript - 禁用React,Formik中的复选框,当其来自Server的值返回false时
- wso2 - How to access XACML policy from WSO2IS in API using WSO2API manager(How to create APIs using WSO2APIM to access XACML policy)
- postgresql - 在 SQLAlchemy 中更新 PostgreSQL 数组字段
- sqlite - 在 sqlite 中更新(覆盖)整个记录(所有列)
- asp.net-core - 加入多个字段
- generics - 如何解决特征的通用实现(一揽子实现)的冲突?
- android - 为什么我们可以通过广播接收器与BLE设备配对,而不显示系统对话框?
- go - Pact-Go 找不到服务器正在运行