Моя текущая установка включала самоподписанный корневой ЦС, который затем подписал мой ЦС SSL / TLS и ЦС клиента OpenVPN. ЦС SSL / TLS подписывает сертификаты моих серверов, а ЦС клиента OpenVPN подписывает сертификаты клиентов OpenVPN.
Должен ли клиентский ЦС OpenVPN находиться в собственной иерархии, отдельно от корневого ЦС? Я обеспокоен тем, что если пользователь импортирует корневой ЦС и доверяет ему, кто-то с клиентским сертификатом OpenVPN, подписанным моим ЦС, сможет использовать этот сертификат для серверов, а затем ему будет доверять без дальнейшего вмешательства пользователя. Если я что-то не упускаю keyUsage?
OpenSSL уже используется.
Расширенное использование ключа - это то, что вам нужно.
Вы можете установить это на Client Authentication (OID: 1.3.6.1.5.5.7.3.2)