Authentication
openvpn:auth-user-pass 或(和?)密碼?
我正在 PfSense 2.0 上設置 OpenVPN,現在我想知道是否應該使用“auth-user-pass”選項,在 openssl 密鑰上設置密碼或兩者兼而有之。
除了有效證書之外,兩者都需要額外的密碼,但我不知道一種方法是否比另一種更安全。
PfSense 網路界面似乎只直接支持“auth-user-pass”方法,因此使用密碼意味著每個證書的額外步驟(使用 openssl 命令添加密碼)。
這兩個不同的密碼雖然在使用者看到的內容上相似,但在它們保護的內容上卻完全不同。
私鑰密碼是使用者私鑰的解密密鑰,為靜態數據引入了安全性。如果使用者熟悉 x.509 證書和私鑰處理,則可以根據自己的喜好更改和刪除它。應該注意的是,在最好的情況下,作為 VPN 網關運營商的您不會知道使用者的私鑰和密碼,因為這些是由使用者自己生成和維護的。
auth-user-pass 指令查詢用於 OpenVPN 訪問的使用者名/密碼組合。它可以與 XAuth 為 IPSec 所做的相媲美——使用它 OpenVPN 可以與外部身份驗證服務集成,如 RADIUS、LDAP 或 PAM。這可用於緩解“被盜私鑰”事件,但更有可能在大多數安裝中最終成為唯一的身份驗證方法,因此 OpenVPN 可以完全在沒有客戶端證書的情況下執行(使用不需要客戶端證書的選項)和為 VPN 撥號道路勇士提供一些單點登錄功能。
一個選項是否比另一個“更好”在很大程度上取決於您實際在做什麼以及您想要完成什麼。