Простая настройка OpenVPN с проверкой подлинности SSL.
Настройка SSL: корневой центр сертификации> промежуточный центр сертификации> выдающий центр сертификации
Все сертификаты (vpn-server и -clients) выдаются "Issuing-CA".
Я пробовал использовать сертификат ЦС-эмитента как OpenVPN ca ca.pem параметр в конфигурации openvpn (сервер и клиент).
Это не сработало.
Мне пришлось добавить полную цепочку сертификатов в ca.pem. Тогда это сработало.
Я думал ca параметр указывает доверенный Центры сертификации. Я не хочу включать всю цепочку сертификатов, так как не вижу в этом необходимости! Напротив - это кажется мне опасным - поскольку корневой ЦС и промежуточный ЦС могут выдавать сертификаты для CN, которые используются в VPN! Я бы классифицировал это как угрозу безопасности.
Есть ли способ установить якорь доверия для не корневого центра сертификации?