Как правильно организовать PKI?

Question

[Alex]

Привет! Прочитал про организацию своего PKI и не совсем понял одну вещь.
Допустим, у меня есть кластер Kubernetes, MongoDB ReplicaSet, кластер Consul, и сервер OpenVPN. Везде используются сертификаты для аутентификации. Как я понимаю, если у нас один root CA на все (офлайновый) и оидн intermediate, то все сертификаты будут выпущены одним удостоверяющим центром (т.е между собой они доверяют друг-другу).
Значит ли это, что, допустим, пользователь OpenVPN может взять свой сертификат и использовать его для присоединения своей ноды к, например, Consul кластеру? Или можно взять сертификат, который использует Kubernetes и успешно авторизоваться в OpenVPN? Если да, то получается нужно делать отдельный CA на каждый тип сервисов? Или можно как-то по другому сделать ограничения?

Answer 1

[CityCat4]

Прочитал про организацию своего PKI и не совсем понял одну вещь

Судя оп вопросу, стоило написать "не понял нихрена так что даже толком не могу обьяснить, что мне надо".

PKI - иерархическая структура выпуска сертификатов X.509, которые по сути являются защищенными от изменений файлами, содержащими некоторый набор данных (если абстрагироваться от сети доверия, поскольку собственному CA не доверяет никто), которые ты передаешь между некоторыми службами и сервисами. Как эти файлы будут использоваться - это твое личное дело, какие данные заложишь - такие и проверишь.
Разные ограничения можно реализовать по-разному, все зависит от того, что надо.
В почте сертификат используют для шифрования
В вебе - для подтверждения подлинности имени
В VPN - для аутентификации сторон