-1

使用 OpenVPN,我可以使用证书、私钥和 CA 证书启用 2 向身份验证。

据我了解,这仅提供身份验证(客户是谁,他说他是谁),但不提供授权(访问控制)。OpenVPN 只是假设有效的身份验证也是访问授权。

如果我现在运行第二个 VPN 服务器,使用相同的 CA,第一个的客户端是否也可以访问第二个 VPN?

如果我想避免这种情况 - 具有第一个 VPN 服务器的密钥/证书的客户端应该无法访问第二个 VPN 服务器(和反向) - 我有什么选择?

  • 为每个服务器使用不同的 CA(在我看来很难看)
  • 使用基于通用名称 (CN) 的访问控制列表(不太实用)
  • 使用防火墙/iptables(不太实用)

我是否错过了以某种方式限制某个客户端对某个服务器的访问的方法?

4

1 回答 1

0

引用OpenVPN 论坛的Jan Just Keijser

在我看来,openvpn 提供身份验证,而不是访问控制(授权),也不应该提供。您提到的选项是您拥有的唯一选项,除非您还想加入用户名+密码控制。

您可以使用子 CA(中间 CA);每个客户端证书都将由特定的子 CA 签名;客户端只需要“根”CA 即可连接到服务器,但服务器可以根据客户端使用的子 CA 允许访问。

于 2013-06-06T13:55:39.810 回答