我正在设置一个开放VPN服务器运行隧道下列的这教程。
它要求我创建一个自签名证书为了隧道在服务器端。因为我已经有一个为开放VPN,我想知道是否可以使用它,它是否聪明以及为什么/为什么不。
答案1
是的你可以。不,你不应该(除非在非公共网络上操作,这似乎不太可能,因为 OpenVPN 是私有子网的公共访问方法)。
原因对应于 TLS 协议证书验证过程以及连接时的可信度
- 它是自签名的,而不是由信誉良好的证书颁发机构签名的,这可能并且将会导致 MITM 攻击向量,因为在初始握手过程中不会或不会发生任何验证。
- 现在,以前使用的私钥被重新使用,从而否定了“私钥”的安全保护(如果它从一个设备移动到另一个设备)。使用 SCP 等协议移动文件时有一个例外。