TLS를 사용하여 두 번째 OpenVPN 서버를 설정 중이어서 CA에 대해 질문이 있습니다. 각 서버마다 별도의 CA를 만들어야 합니까, 아니면 동일한 CA를 사용해야 합니까?
왜?
두 서버 모두 동일한 클라이언트 네트워크를 제공합니다.
감사해요!
답변1
동일한 CA를 사용하고 이를 안전하게 유지해야 합니다(이를 손상하는 사람은 누구나 해당 CA에 대한 인증서를 발급하고 MITM 공격을 수행할 수 있기 때문입니다). 컴퓨터를 오프라인으로 전환하고 이 목적으로만 사용하는 것을 고려할 수 있습니다.
자체 서명된 인증서는 내부용으로만 사용할 경우 제대로 작동합니다. 모든 클라이언트에 CA 루트 인증서를 설치해야 한다는 점을 기억하십시오.
편집: 제목의 질문에 따르면 CA는 단일 서버를 나타내지 않습니다. 회사나 부서를 나타냅니다. (여기서 "대표자"는 "증명서를 전달할 수 있는 사람"을 의미합니다.)
답변2
당신의 질문이 겁이 나요. 일반적으로 VPN 서비스에 대한 CA를 만들지 않습니다.
구현하려는 TLS 프로토콜을 거부하는 CSR(인증서 서명 요청)에 CA에 서명하도록 요청합니다.
나는 당신이 실제로 요구하는 것이 x.509 인증서라고 생각합니다. 특히 "각 서버에 대해 별도의 x.509 인증서를 만들어야 합니까, 아니면 동일한 인증서를 사용해야 합니까?"입니다.
제가 옳고 이것이 귀하가 요구하는 것이라면 "와일드카드 인증서" 유형을 살펴보는 것이 좋습니다. 이 유형을 사용하면 여러 서버에서 사용할 수 있는 x.509 인증서를 생성하고 CA(인증 기관)에서 서명하도록 할 수 있습니다.
답변3
CA는 권위 있는 조직입니다. 그 이상도 이하도 아닌. 이는 서버와 전혀 관련이 없습니다.
어떤 면에서 CA는 매우 큰 보스입니다. CA(위) > 서버 > 클라이언트.
또한 클라이언트가 2개의 서버에 연결할 수 있고 제외 등이 없는 경우 CA를 하나만 사용하세요. 이것은 완전히 정상입니다.