Martin Asked: 2009-07-21 01:39:51 +0800 CST2009-07-21 01:39:51 +0800 CST 2009-07-21 01:39:51 +0800 CST OpenVPN:在哪里生成私钥? 772 我的一个朋友说,客户端的密钥(私有和公共)应在服务器上生成,并在为基于 OpenVPN 的网络设置新客户端时以某种方式传递给客户端。 在客户端生成密钥然后将没有私钥的公钥发送到服务器不是更安全吗?或者服务器是否也需要客户端的私钥? (我对所有这些加密都是菜鸟,所以我可能完全错了。) vpn openvpn ssl 2 个回答 Voted Best Answer Dan Carley 2009-07-21T01:56:00+08:002009-07-21T01:56:00+08:00 你是绝对正确的。 PKI 的整个精神是公钥(或证书)包含第三方(在本例中为您的 VPN 服务器)验证其真实性所需的一切。只有客户端需要私钥来签署这些验证挑战。 尽管它可以使注册新用户的过程稍微冗长一些。通过让每个客户端生成自己的私钥和证书签名请求,您可以限制私钥的分发并大大提高安全性。 一个更好的解决方案是将用户/客户生成的私钥放在两因素令牌上。几乎所有都包含板载 RSA 引擎,使他们能够安全地生成私钥并规定它永远不会离开令牌。 Nathan Neulinger 2014-10-09T19:07:36+08:002014-10-09T19:07:36+08:00 你在证书上是对的——但是,对于大多数用户来说,生成证书和 CSR 的任务远远超出了他们在没有认真处理的情况下能够完成的事情的范围。 在这些情况下,集中设置密钥对并在设置过程中将密钥安全地传输给用户可能会更容易。
你是绝对正确的。
PKI 的整个精神是公钥(或证书)包含第三方(在本例中为您的 VPN 服务器)验证其真实性所需的一切。只有客户端需要私钥来签署这些验证挑战。
尽管它可以使注册新用户的过程稍微冗长一些。通过让每个客户端生成自己的私钥和证书签名请求,您可以限制私钥的分发并大大提高安全性。
一个更好的解决方案是将用户/客户生成的私钥放在两因素令牌上。几乎所有都包含板载 RSA 引擎,使他们能够安全地生成私钥并规定它永远不会离开令牌。
你在证书上是对的——但是,对于大多数用户来说,生成证书和 CSR 的任务远远超出了他们在没有认真处理的情况下能够完成的事情的范围。
在这些情况下,集中设置密钥对并在设置过程中将密钥安全地传输给用户可能会更容易。