auth-user-pass-verify é a coisa certa.
Além disso, você pode forçar o nome de usuário do usuário-auth tem que ser o certificado CN
você também pode forçar o openvpn a fazer apenas uma conexão a cada certificado de cada vez.
Dessa forma, um "imitador" precisa ter o usuário certo em comparação com o CN certc e o passe correto
e ele tem que fazer logon de cada vez o proprietário real doenst
Além disso, você pode pensar em um IDS, dependendo de qual você escolher, você pode até mesmo reduzi-lo até lá, como faixas de ip externas permitidas, tempos de logon e assim por diante.
Qualquer certificado exposto deve ser revogado imediatamente.
O servidor de assinatura deve estar fora da chave de transferência de rede pelo usb - então você tem um acesso realmente seguro.
e não, você não deve senha um certificado.
- Fácil de usar a força bruta.
- Você não pode bloquear um usuário (a passagem de certificado é apenas offline).
- As pessoas perdem suas senhas o tempo todo forçando-o a revogar e recriar um certificado toda vez - grande risco de ter um monte de certs lá fora, onde às vezes você pode esquecer a revogação.
Mas se você realmente quiser, pode usar a senha auth-user e cert no mesmo tempo
não haverá retorno ou algo assim.
Primeiro o openvpn usará a senha do cert para descriptografar a chave privada para estabelecer uma conexão - então o auth-user entra no serveridly - se as credenciais estiverem erradas, você está fora.
No entanto, se um invasor obtiver as credenciais regulares, você já está com problemas e as chances são altas. Ele também obteve a senha do certificado.
Então eu não vejo benefícios reais aqui, apenas um monte de desvantagens e uma sensação errada de mais segurança.