我在PfSense 2.0上设置了OpenVPN,现在我想知道是否应该使用“auth-user-pass”选项,在openssl键上设置密码。
两者都需要有效证书旁边的额外密码,但我不知道是否有一种方法比另一种更安全。
似乎只有“auth-user-pass”方法在PfSense Web界面中直接支持,所以使用passhrase意味着每个证书都需要额外的步骤(为openssl命令添encryption码)。
这两个不同的密码虽然在用户看到的类似,但在保护方面完全不同。
私钥密码是用户私钥的解密密钥,为静态数据情况提供了安全保障。 如果她熟悉x.509证书和私钥处理,则可以由用户根据自己的喜好进行更改和删除。 应该指出的是,在所有的世界中,作为VPN网关运营商的你将不会有任何关于用户私钥和他们的密码的知识,因为这些将由用户自己生成和维护。
auth-user-pass指令是查询OpenVPN访问的用户名/密码组合。 这与XAuth为IPSec所做的工作相媲美 – 使用它可以将OpenVPN与外部authentication服务(如RADIUS,LDAP或PAM)集成在一起。 这可以用来缓解“被盗的私钥”事件,但是更可能的是,它在大多数安装中被认为是唯一的身份validation方法,所以OpenVPN可以在没有客户端证书的情况下运行(使用客户端证书不需要的选项),为VPN拨号公路战士提供一些单点loginfunction。
其中一个选项是否比另一个更“优于”取决于你在做什么以及你想完成什么。