San*_*dra 0 security linux vpn certificate openvpn
我有一个 OpenVPN 服务器,它对 Active Directory 进行身份验证,因此要求每个用户输入用户名和密码。
最重要的是,它还要求每个用户拥有一个客户端证书和客户端密钥(+ server ca.crt)。
题
我希望每个用户都必须使用他们的 AD 用户名和密码登录,并且所有客户端共享相同的客户端证书和客户端密钥。
我想要一个共享的客户端证书和密钥的原因是为了便于管理,它可以保护网络免受有人暴力破解密码的影响。
一种方法是像这样创建一个客户端
cd /etc/openvpn/easy-rsa/2.0/
. /etc/openvpn/easy-rsa/2.0/build-key client1
并将其提供给每个用户。
在这些条件下,这是正确的方法吗?还是应该以特殊方式创建客户端证书和密钥?
首先,我同意 Ingmar Hupp 的观点,您不希望为一群用户传递一个密钥。这真的不是一个好的安全策略的一部分。此外,正如他所提到的,使用 easy-rsa 设置 CA 和签名/撤销密钥非常容易,而且 IMO 值得额外的“人力”(如果你愿意的话)来正确设置/维护密钥,而不是传递一个单独的密钥.
但无论如何,“技术”答案是添加
复制-cn
到您的 server.conf 文件。
| 归档时间: |
|
| 查看次数: |
3865 次 |
| 最近记录: |