Documentatie1.2. Instelling van de openbare sleutelinfrastructuur
De eerste stap bij het bouwen van een OpenVPN-configuratie is het opzetten van een PKI (public key infrastructure). De PKI bestaat uit:
• een afzonderlijk certificaat (ook wel publieke sleutel genoemd) en private sleutel voor de server en elke client, en
• een master Certificate Authority (CA)-certificaat en -sleutel die worden gebruikt om elk van de server- en clientcertificaten te ondertekenen.
OpenVPN ondersteunt bidirectionele authenticatie op basis van certificaten, wat betekent dat de client het servercertificaat moet authenticeren en de server het clientcertificaat moet authenticeren voordat wederzijds vertrouwen tot stand wordt gebracht.
Zowel de server als de client verifiëren de ander door eerst te verifiëren dat het gepresenteerde certificaat is ondertekend door de hoofdcertificeringsinstantie (CA) en vervolgens door informatie in de nu geverifieerde certificaatheader te testen, zoals de algemene naam van het certificaat of het certificaattype (client of server).