OpenVpn 客户端凭证安全，密钥 crt 生成

我很好奇你对 openvpn 的看法客户crt/key 安全

在大多数情况下（教程），客户端密钥/crt 是在同一个 openvpn 服务器上生成的，没有人关心未来。只要有人进入服务器，这都是安全的 :)

有很多场景可以说明这可以是一个线程。我想防止'客户端欺骗'- 特权人员/管理员（内部攻击）直接从服务器窃取用户凭证（key/crt），并使用它们以其他人的身份进行连接。

我想，防止这种情况发生的唯一方法是：

1. 在服务器上生成 key/crt
2. 交付给客户
3. 消除钥匙来自服务器（保留 crt 您可以撤销它）

缺点：如果用户再次要求输入密钥 - 抱歉 - 您没有，您需要生成新的密钥/crt 对（并撤销旧的！）

您对此有何看法？

部分主题： https://security.stackexchange.com/questions/66948/openvpn-storage-location-and-creation-of-keys-certificates