[eside-ghost] IPSec, Linux y CAs

[Alvaro Marin]

Aupa,

Estamos aquí haciendo pruebas con IPSec (OpenSwan) y en principio tira
todo bastante bien para hacer túneles host2host, host2net etc...tanto
con PSKs como con certificados.
Cuando usamos certificados, generamos la CA y creamos un certificado
para el gateway que hará de servidor de VPNs. Dicho certificado lo
firmamos con la CA creada anteriormente. 
Posteriormente, creamos un certificado para un cliente y lo firmarmos
también con la CA. La clave privada generada y el certificado se lo
damos al cliente.
Cuando el cliente se conecta al servidor, el servidor comprueba que el
certificado del cliente esté firmado por una CA conocida ( en
/etc/ipsec.d/cacerts/ ). El problema es que el cliente no comprueba si
el certificado enviado por el servidor esté firmado por alguna CA, por
lo tanto, siempre va a confiar en el certificado del servidor, con lo
que eso conlleva...

Sabe alguien alguna forma de forzar de algún modo al cliente para que
compruebe si el certificado que le envía el servidor es confiable, en
base a su repositorio de CAs?

Thx :)

agur!
split.