我发现的所有 OpenVPN/ Easy-RSA 教程都建议在为 OpenVPN 服务器构建密钥时设置一个空的质询密码。
有人知道为什么吗?Easy-RSA 服务器密钥中质询密码的预期用途是什么?
那么客户的钥匙呢?我看到
build-key-pass存在生成加密客户端密钥的存在,但不存在等效的服务器。尽管如此,两者都build-key要求build-key-pass输入挑战密码。
来自 Easy-RSA 的 build-key-server 和 build-key 中的挑战密码有什么用?
信息安全
openssl
打开VPN
2021-08-18 11:07:16
2个回答
“挑战密码”是一个晦涩难懂且通常无用的功能。-> 留空。
如果您的 CA 允许这样做,那么Challenge Password任何试图吊销证书的人都需要这样做。- 但据我了解,实际上使用它的 CA很少(或没有? )。(如果您不知道,请发表评论。)因此,如果您不确定,请将其留空。
“挑战密码”的预期用途是什么?
据我了解,这个想法是这样的:
如果您有一个可以访问证书和密钥的流氓管理员,那么该管理员可以撤销证书并对您进行 DOS。
但是,如果您有一个 CA 会挑战流氓管理员提供“挑战密码”,那么流氓管理员可能没有该密码,那么您就可以安全地免受该 DOS 的影响。
(证书或密钥中均不包含 CP。仅在 CSR 中。并且您不需要 CSR 进行日常操作,因此操作人员可能不会接触 CSR 文件,因此不知道Challenge Password.) (但请记住,您仍然需要担心拥有您的证书/密钥的流氓管理员。很多。所以根据我的理解,您首先从拥有“挑战密码”中得不到任何好处。--正确如果我错了。我觉得我在这里遗漏了一些重要的想法。-也许这意味着允许仅持有证书和密码但不持有私钥的人撤销。)
进一步阅读
(太短的)官方定义在这里:RFC 2985: PKCS #9: Selected Object Classes and Attribute Types Version 2.0, Section 5.4.1: Challenge password
这个问题经常出现:
- https://superuser.com/questions/376179/confusion-with-pem-pass-phrase-and-challenge-password
- https://serverfault.com/questions/266232/what-is-a-challenge-password
进一步来源:
- Randall Perry,“OpenSSL 用户”邮件列表,2014-05-22,回复:CSR 挑战密码:有什么意义?
为什么空密码非常简单的最简单答案。当服务启动/重新启动时,您不会在输入密码。并且在这种情况下可靠地使服务器密钥工作的唯一方法是拥有一个空密钥。
这与为什么 HTTPS 服务器密钥是“空”密码的原因相同。