TLSを使用して2番目のOpenVPNサーバーを設定しているので、CAについて質問があります。各サーバーに別々のCAを作成する必要がありますか、または同じCAを使用する必要がありますか?
なぜ?
どちらのサーバーも同じクライアントネットワークを提供します。
ありがとうございます!
ベストアンサー1
同じCAを使用し、それを安全に保つ必要があります(これを侵害する人は誰でもそのCAの証明書を発行してMITM攻撃を実行できるため)。コンピュータをオフラインにしてこの目的にのみ使用することを検討できます。
自己署名証明書は、内部でのみ使用されている場合は正しく機能します。すべてのクライアントにCAルート証明書をインストールする必要があることに注意してください。
編集:タイトルの質問によると、CAは単一のサーバーを表しません。会社または部門を表します。 (ここで「代表者」とは、「証明書を渡すことができる人」を意味します。)