Dokumentation1.2. Einrichtung der Public-Key-Infrastruktur
Der erste Schritt beim Aufbau einer OpenVPN-Konfiguration ist die Einrichtung einer PKI (Public Key Infrastructure). Die PKI besteht aus:
• ein separates Zertifikat (auch bekannt als öffentlicher Schlüssel) und einen privaten Schlüssel für den Server und jeden Client und
• ein Master-Zertifikat der Zertifizierungsstelle (CA) und einen Schlüssel, der zum Signieren jedes Server- und Client-Zertifikats verwendet wird.
OpenVPN unterstützt die bidirektionale Authentifizierung auf Basis von Zertifikaten. Das bedeutet, dass der Client das Serverzertifikat und der Server das Clientzertifikat authentifizieren müssen, bevor gegenseitiges Vertrauen hergestellt wird.
Sowohl der Server als auch der Client authentifizieren sich gegenseitig, indem sie zunächst überprüfen, ob das vorgelegte Zertifikat von der Master-Zertifizierungsstelle (CA) signiert wurde, und dann Informationen im jetzt authentifizierten Zertifikatsheader testen, z. B. den allgemeinen Namen des Zertifikats oder den Zertifikatstyp (Client). oder Server).