Профессионалы / недостатки использования пароля меньше клиентские ключи OpenVPN
Проверьте перезапись модуля, активируется на втором поле, некоторой поставке дистрибутива с тем модулем, отключенным по умолчанию. На находящихся в debian дистрибутивах можно использовать a2enmod rewrite для включения его не забывайте перезапускать апача после этого.
Чтобы ответить на каждый из ваших пунктов:
1 - Вы правы, сравнивая защиту паролем ключей OpenVPN с защитой паролем ключей SSH.
2 - Без использования какого-либо дополнительного метода аутентификации OpenVPN полагается только на проверку сертификата клиента сервером (и в идеале сертификат сервера клиентом) для аутентификации клиента. Это делает отмену доступа отдельного клиента вопросом добавления сертификата клиента в список отзыва сертификатов (CRL) (поддерживается версиями 1.5 и выше OpenVPN) или удаления ключевого материала с клиента (или переключения сертификатов на всех ваших другие клиенты). Если вы не используете дополнительный метод аутентификации, вам потребуется CRL, чтобы разрешить отзыв клиентского доступа.
Имейте в виду, что защита ключей паролем совершенно не помогает при повторной аутентификации. Этот пароль просто «разблокирует» ключ на клиентском устройстве - он не решает проблему дополнительной аутентификации пользователя на клиенте на сервере (и проблему отзыва доступа).
3 - Вы должны сгенерировать пары закрытых / открытых ключей на самих клиентах, в отличие от передачи их по проводам. Вы можете сгенерировать запрос сертификата на клиенте, отправить открытый ключ (в запросе на подпись сертификата) в свой центр сертификации для подписи и установить подписанный сертификат на клиенте. Все это может быть написано сценарием, и я уверен, что кто-то уже это сделал (и я надеюсь, что коммерчески лицензированный продукт OpenVPN, вероятно, имеет некоторые из этих встроенных функций).
Я нахожу это My Certificate Проект Wizard , который был написан специально для этой цели, но я бы написал сценарий всего этого на клиенте с помощью инструментов командной строки OpenSSL, пытаясь сделать весь процесс практически невидимым для пользователя.
отправьте открытый ключ (в запросе на подпись сертификата) в свой центр сертификации для подписи и установите подписанный сертификат на клиенте. Все это может быть написано сценарием, и я уверен, что кто-то уже это сделал (и я надеюсь, что коммерчески лицензированный продукт OpenVPN, вероятно, имеет некоторые из этих встроенных функций).Я нахожу это My Certificate Проект Wizard , который был написан специально для этой цели, но я бы написал сценарий всего этого на клиенте с помощью инструментов командной строки OpenSSL, пытаясь сделать весь процесс практически невидимым для пользователя.
отправьте открытый ключ (в запросе на подпись сертификата) в свой центр сертификации для подписи и установите подписанный сертификат на клиенте. Все это может быть написано сценарием, и я уверен, что кто-то уже это сделал (и я надеюсь, что коммерчески лицензированный продукт OpenVPN, вероятно, имеет некоторые из этих встроенных функций).Я нахожу это My Certificate Проект Wizard , который был написан специально для этой цели, но я бы написал сценарий всего этого на клиенте с помощью инструментов командной строки OpenSSL, пытаясь сделать весь процесс практически невидимым для пользователя.