Merge branch 'ca-identity-constraint'
authorTobias Brunner <tobias@strongswan.org>
Fri, 6 Dec 2019 09:10:39 +0000 (10:10 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 6 Dec 2019 09:23:59 +0000 (10:23 +0100)
commit96b8fa72b39bb6c416ddf99e3887270e5b0c27e9
tree6153be66e986a8973cf0265be040711d783ecb1f
parent7035340b213f3826d3d08c6081091806a175966c
parentae9b748a77c3e5267f80bb320acdcd76940403bb
Merge branch 'ca-identity-constraint'

This adds a new constraint for vici/swanctl.conf that enforces that the
certificate chain of the remote peer contains a CA certificate with a
specific identity.

This is similar to the existing CA constraints, but doesn't require that
the CA certificate is locally installed, for instance, intermediate CA
certificates received by the peers.

Wildcard identity matching (e.g. "..., OU=Research, CN=*") could also be
used for the latter, but requires trust in the intermediate CA to only
issue certificates with legitimate subject DNs (e.g. the "Sales" CA must
not issue certificates with "OU=Research").  With the new constraint
that's not necessary as long as a path length constraint prevents
intermediate CAs from issuing further intermediate CAs.