OpenVPN，完美的前向保密密鑰是否需要保密？

在我的 OpenVPN 伺服器上，我pfs.key使用命令生成一個文件（完美的前向保密）openvpn --genkey --secret pfs.key，在我的客戶端配置文件中它包含這個pfs.key文件（以及伺服器配置文件），所以我的問題是，給客戶端生成的pfs.key文件是否“安全” ? 即，在安全性方面，向客戶提供pfs.key文件是否有任何顧慮？

客戶端配置包括 pfs.key 文件，如下所示

tls-auth /path/to/pfs.key

如果您生成的密鑰easyrsa gen-dh正在tls-auth線路中使用，則您以錯誤的方式使用密鑰。

您生成的文件easyrsa gen-dh只需要通過dh dh.pem配置行添加到伺服器配置中。

https://security.stackexchange.com/questions/42415/openvpn-dhparam

參數只是素數，而不是鍵。它們不需要是唯一的或秘密的，但它們也不能是由攻擊者特製的。

您用於 tls-auth 的密鑰應該是使用類似的命令生成的openvpn --genkey --secret ta.key

https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-auth

您用於的密鑰tls-auth應盡可能保密。連接的客戶端必須知道它，但您不想將它交給不應訪問的人。這是一個共享的秘密。OpenVPN實際上並不需要保證安全，它只是增加了一個額外的身份驗證層。

引用自：https://serverfault.com/questions/959944