Merge branch 'ca-identity-constraint'
authorTobias Brunner <tobias@strongswan.org>
Fri, 6 Dec 2019 09:10:39 +0000 (10:10 +0100)
committerTobias Brunner <tobias@strongswan.org>
Fri, 6 Dec 2019 09:23:59 +0000 (10:23 +0100)
This adds a new constraint for vici/swanctl.conf that enforces that the
certificate chain of the remote peer contains a CA certificate with a
specific identity.

This is similar to the existing CA constraints, but doesn't require that
the CA certificate is locally installed, for instance, intermediate CA
certificates received by the peers.

Wildcard identity matching (e.g. "..., OU=Research, CN=*") could also be
used for the latter, but requires trust in the intermediate CA to only
issue certificates with legitimate subject DNs (e.g. the "Sales" CA must
not issue certificates with "OU=Research").  With the new constraint
that's not necessary as long as a path length constraint prevents
intermediate CAs from issuing further intermediate CAs.


Trivial merge