Openvpn
OpenVPN,完美的前向保密密鑰是否需要保密?
在我的 OpenVPN 伺服器上,我
pfs.key
使用命令生成一個文件(完美的前向保密)openvpn --genkey --secret pfs.key
,在我的客戶端配置文件中它包含這個pfs.key
文件(以及伺服器配置文件),所以我的問題是,給客戶端生成的pfs.key
文件是否“安全” ? 即,在安全性方面,向客戶提供pfs.key
文件是否有任何顧慮?客戶端配置包括 pfs.key 文件,如下所示
tls-auth /path/to/pfs.key
如果您生成的密鑰
easyrsa gen-dh
正在tls-auth
線路中使用,則您以錯誤的方式使用密鑰。您生成的文件
easyrsa gen-dh
只需要通過dh dh.pem
配置行添加到伺服器配置中。https://security.stackexchange.com/questions/42415/openvpn-dhparam
參數只是素數,而不是鍵。它們不需要是唯一的或秘密的,但它們也不能是由攻擊者特製的。
您用於 tls-auth 的密鑰應該是使用類似的命令生成的
openvpn --genkey --secret ta.key
https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-auth
您用於的密鑰
tls-auth
應盡可能保密。連接的客戶端必須知道它,但您不想將它交給不應訪問的人。這是一個共享的秘密。OpenVPN實際上並不需要保證安全,它只是增加了一個額外的身份驗證層。