А кто какие практики использует при именовании сертификатов, в частности под OpenVPN?
В хозяйстве есть довольно много туннелей, при этом один и тот же хост может являться для одних туннелей клиентом, для других - сервером. Где-то туннели точка-точка и больше ничего, а где-то к одному серверу может несколько сотен клиентов цепляться. Генерируется это всё на нескольких выделенных CA.
Соответственно, хочется выработать практику именования сертификатов так, чтобы при одном взгляде на CN было понятно, к какому серверу и к какому туннелю оно имеет отношение, да и роль сервера в соединении тоже неплохо было бы понимать.
Я обычно использую такую схему - (обьект)_(роль)_(выдавший CA). Обьект - это либо логин для юзера, либо hostname без доменной части для сервера. Роль - либо client, либо server. Выдавший CA - короткое наименование СA, выдавшего сертификат. Раньше для серверов использовал только (hostname), но в этом случае реально возникает путаница.
