我的华硕路由器自带 OpenVPN 服务器,路由器会导出一个配置文件 .ovpn 供客户端导入。查看该文件的内容,我可以看到里面有一个私钥,于是我想知道:
所有客户端是否都有相同的私钥?因此加密方式是否相同?
与所有有权访问我的 VPN 的人共享 .ovpn 文件是否安全?
如果某个设备被盗,那么我是否必须使用新的 .ovpn 文件重新配置所有其他设备?
针对这一切,有没有什么最佳实践?
答案1
所有客户端都会有相同的私钥吗?
理想情况下,不是。每个客户端应该有自己的证书,并且每个证书应该拥有唯一的私钥。如果我没记错的话,标准 OpenVPN 配置甚至强制每个客户端名称最多 1 个连接(尽管可以禁用此功能)。
因此,尽管从技术上讲多个客户端共享一个证书是可行的,但我们非常不建议这样做。
因此加密也是一样吗?
这些证书不用于加密 - 它们用于验证。每个会话的加密密钥都是独立生成的。
与所有有权访问我的 VPN 的人共享 .ovpn 文件是否安全?
这实际上和“共享用户名和密码是否安全?”是一样的问题,通常答案是否定的。你不会让多个不同的客户端使用相同的用户名,因为这样就很难保护凭证不被不该泄露的地方泄露,并且在发生这种情况时撤销它们。
但也存在例外,例如相同的客户端可以使用同一个帐户(无论是通过用户名还是通过证书),但一般来说,主要凭据不应该在用户之间共享。
(次要凭证,例如 OpenVPN 的 HMAC“tls-auth”静态密钥,具有不同的用途,在用户之间共享它们通常可以,有时甚至是不可避免的。)