Nous avons vu que le modèle de sécurité de OpenVPN avec le mode SSL/TLS, est destiné aux utilisateurs qui génèreront leurs propre certificat root, et par conséquent sont leur propre CA. Dans le mode SSL/TLS, OpenVPN authentifie ses paires en vérifiant que le certificat fourni par l'autre pair est signée par le certificat du CA, CA spécifié par l'option --ca. Tout comme le mode web sécurisé basé sur SSL, la sécurité du mode SSL/TLS de OpenVPN repose sur l'impossibilité d'oublier la signature du certificat root.
Cette procédure d'authentification fonctionne parfaitement bien si vous avez généré votre propre certificat root, mais pose un problème si vous voulez utiliser le certificat root d'un CA commercial tel que Thawte. Si, par exemple, vous spécifiez le certificat root de Thawte avec l'option --ca, n'importe quel certificat signé par Thawte pourra alors être authentifié avec votre pair OpenVPN -- chose que vous ne voulez surement pas.
Heureusement, il existe une solution à ce problème avec l'option --tls-verify. Cette option vous autorisera l'exécution de la commande pour vérifier le contenu du certificat, pour sélectionner finement les certificats qui sont autorisés, et ceux qui ne le sont pas. Pour avoir un exemple sur la manière de procéder, reportez-vous au script verify-cn. Il se trouve dans le sous-repertoire contenant les extraits de scripts. Pour plus de détails sur l'option --tls-verify, reportez-vous à la page de man.