在我的 OpenVPN 服务器上,我pfs.key使用命令生成一个文件(完全前向保密)openvpn --genkey --secret pfs.key,在我的客户端配置文件中包含此pfs.key文件(在服务器配置文件中也是如此),所以我的问题是,将生成的文件提供给客户端是否“安全” pfs.key?也就是说,将pfs.key文件提供给客户端是否会引起安全方面的担忧?
客户端配置包含 pfs.key 文件,如下所示
tls-auth /path/to/pfs.key
答案1
easyrsa gen-dh如果您生成的密钥正在线路中使用,则说明您使用密钥的方式错误tls-auth。
您生成的文件easyrsa gen-dh只需要通过配置行添加到服务器配置中dh dh.pem。
https://security.stackexchange.com/questions/42415/openvpn-dhparam
这些参数只是素数,而不是密钥。它们不需要是唯一的或秘密的,但也不能由攻击者特制。
用于 tls-auth 的密钥应该使用类似以下命令生成openvpn --genkey --secret ta.key
https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-auth
您使用的密钥tls-auth应尽可能保密。连接的客户端必须知道它,但您不想将它交给不应该有访问权限的人。这是一个共享秘密。它实际上不是 OpenVPN 安全所必需的,它只是增加了一层额外的身份验证。