Vpn
OpenVPN:在哪裡生成私鑰?
我的一個朋友說,客戶端的密鑰(私有和公共)應在伺服器上生成,並在為基於 OpenVPN 的網路設置新客戶端時以某種方式傳遞給客戶端。
在客戶端生成密鑰然後將沒有私鑰的公鑰發送到伺服器不是更安全嗎?或者伺服器是否也需要客戶端的私鑰?
(我對所有這些加密都是菜鳥,所以我可能完全錯了。)
你是絕對正確的。
PKI 的整個精神是公鑰(或證書)包含第三方(在本例中為您的 VPN 伺服器)驗證其真實性所需的一切。只有客戶端需要私鑰來簽署這些驗證挑戰。
儘管它可以使註冊新使用者的過程稍微冗長一些。通過讓每個客戶端生成自己的私鑰和證書籤名請求,您可以限制私鑰的分發並大大提高安全性。
一個更好的解決方案是將使用者/客戶生成的私鑰放在兩因素令牌上。幾乎所有都包含板載 RSA 引擎,使他們能夠安全地生成私鑰並規定它永遠不會離開令牌。