openvpn：auth-user-pass 或（和？）密碼？

我正在 PfSense 2.0 上設置 OpenVPN，現在我想知道是否應該使用“auth-user-pass”選項，在 openssl 密鑰上設置密碼或兩者兼而有之。

除了有效證書之外，兩者都需要額外的密碼，但我不知道一種方法是否比另一種更安全。

PfSense 網路界面似乎只直接支持“auth-user-pass”方法，因此使用密碼意味著每個證書的額外步驟（使用 openssl 命令添加密碼）。

這兩個不同的密碼雖然在使用者看到的內容上相似，但在它們保護的內容上卻完全不同。

私鑰密碼是使用者私鑰的解密密鑰，為靜態數據引入了安全性。如果使用者熟悉 x.509 證書和私鑰處理，則可以根據自己的喜好更改和刪除它。應該注意的是，在最好的情況下，作為 VPN 網關運營商的您不會知道使用者的私鑰和密碼，因為這些是由使用者自己生成和維護的。

auth-user-pass 指令查詢用於 OpenVPN 訪問的使用者名/密碼組合。它可以與 XAuth 為 IPSec 所做的相媲美——使用它 OpenVPN 可以與外部身份驗證服務集成，如 RADIUS、LDAP 或 PAM。這可用於緩解“被盜私鑰”事件，但更有可能在大多數安裝中最終成為唯一的身份驗證方法，因此 OpenVPN 可以完全在沒有客戶端證書的情況下執行（使用不需要客戶端證書的選項）和為 VPN 撥號道路勇士提供一些單點登錄功能。

一個選項是否比另一個“更好”在很大程度上取決於您實際在做什麼以及您想要完成什麼。

引用自：https://serverfault.com/questions/342081