認証機関は会社を代表していますか、それともサーバーを代表していますか?

認証機関は会社を代表していますか、それともサーバーを代表していますか?

TLSを使用して2番目のOpenVPNサーバーを設定しているので、CAについて質問があります。各サーバーに別々のCAを作成する必要がありますか、または同じCAを使用する必要がありますか?

なぜ?

どちらのサーバーも同じクライアントネットワークを提供します。

ありがとうございます!

答え1

同じCAを使用し、それを安全に保つ必要があります(これを侵害する人は誰でもそのCAの証明書を発行してMITM攻撃を実行できるため)。コンピュータをオフラインにしてこの目的にのみ使用することを検討できます。

自己署名証明書は、内部でのみ使用されている場合は正しく機能します。すべてのクライアントにCAルート証明書をインストールする必要があることに注意してください。

編集:タイトルの質問によると、CAは単一のサーバーを表しません。会社または部門を表します。 (ここで「代表者」とは、「証明書を渡すことができる人」を意味します。)

答え2

あなたの質問は怖いです。通常、VPNサービス用のCAは作成されません。

実装するTLSプロトコルを拒否する証明書署名要求(CSR)にCAに署名するように要求します。

私はあなたが実際に要求するものがx.509証明書だと思います。特に、「各サーバーに別々のx.509証明書を作成する必要がありますか、それとも同じ証明書を使用する必要がありますか?」

私が正しいこと、そしてこれがあなたが求めているものなら、「ワイルドカード証明書」の種類を見てください。このタイプを使用すると、複数のサーバーで使用可能なx.509証明書を生成し、認証局(CA)に署名することができます。

答え3

CAは権威ある組織です。それ以上も以下でもない。これはサーバーとまったく関係ありません。

ある意味、CAは非常に大きなボスです。 CA(上記)>サーバー>クライアント。

また、クライアントが2つのサーバーに接続でき、除外などがない場合は、CAを1つだけ使用してください。これは完全に正常です。

関連情報