OpenVPN: Onde a chave privada pode ser gerada?

Navegue suas respostas
3

Um amigo meu diz que as chaves (privadas e públicas) para os clientes devem ser geradas no servidor e, de alguma forma, entregues ao cliente ao configurar um novo cliente para uma rede baseada no OpenVPN.

Não seria muito mais seguro gerar as chaves no cliente e apenas enviar a chave pública sem a chave privada para o servidor? Ou há alguma razão pela qual o servidor precisaria da chave privada do cliente também?

(Eu sou um noob em todas essas coisas de criptografia para que eu possa estar totalmente errado.)

    
por Martin 20.07.2009 / 11:39

2 respostas

2

Você está absolutamente certo.

Todo o ethos da PKI é que a chave pública (ou certificado) contém tudo o que é necessário para uma terceira parte (seu servidor VPN nesta instância) para validar sua autenticidade. A chave privada é necessária apenas pelo cliente para assinar esses desafios de validação.

Embora possa tornar o processo de inscrição de novos usuários um pouco mais demorado. Ao fazer com que cada cliente gere sua própria solicitação de assinatura de chave privada e certificado, você está restringindo a distribuição das chaves privadas e aumentando muito a segurança.

Uma solução melhor ainda é ter as chaves privadas geradas por usuários / clientes em tokens de dois fatores . Quase todos contêm mecanismos RSA a bordo, que permitem gerar a chave privada de forma segura e estipular que ela nunca pode deixar o token.

    
por 20.07.2009 / 11:56
0

Você está certo sobre os certs - no entanto, para a maioria dos usuários, a tarefa de gerar um certificado e CSR está fora do alcance de algo que eles conseguirão fazer sem suporte sério.

Nessas circunstâncias, pode ser mais fácil configurar o par de chaves centralmente e transferir com segurança a chave para o usuário durante o processo de configuração.

    
por 09.10.2014 / 05:07

Tags

Como posso desinstalar o Oracle 11g do Windows? Captura de tela do OpenBSD e do sistema de arquivos