Eu estava lendo sobre os parâmetros que o script de chave de compilação do OpenVPN usa para gerar a chave de um cliente privado (com OpenSSL) e notei o parâmetro "-nodes". Segundo a documentação, esse parâmetro é para criar uma chave não criptografada. Bem, eu não sou especialista em OpenVPN, então não tenho certeza se devo mudar isso, especialmente porque é a opção padrão. A principal questão é: por que o OpenVPN faz essa escolha ao gerar chaves privadas? Não é menos seguro?
Se você criptografar a chave, você terá que fornecer uma senha para descriptografá-la sempre que o openvpn for iniciado. O mesmo tipo de coisa que o ssh key-agent faz para que as chaves ssh façam com que você não tenha que descriptografá-las em todas as invocações, mas que eu saiba, não existe um equivalente ssh-agent para o openvpn.
A mesma situação ocorre com x 509 key / cert para SSL w / apache.