A che serve la password di sfida in build-key-server e build-key di Easy-RSA?

21

Tutti i tutorial OpenVPN / Easy-RSA che ho trovato, consigliano di impostare un vuoto sfida la password durante la creazione della chiave per il server OpenVPN.

  • Qualcuno sa perché? A cosa serve la challenge password nelle chiavi del server Easy-RSA?

  • E le chiavi del cliente? Vedo che esiste un build-key-pass per generare chiavi client crittografate, ma non esiste un equivalente server. Tuttavia, sia build-key che build-key-pass richiedono una password di sfida .

posta Giacomo Tesio 29.12.2014 - 11:29
fonte

2 risposte

26

"Sfida password" è una funzione oscura e solitamente inutile. - > Lascia vuoto.

Se la tua CA lo consente, verrà richiesto il Challenge Password di chiunque tenti di ottenere la revoca del certificato. - Ma da quello che ho capito ci sono poche ( o nessuna? ) CA che effettivamente usano questo. ( Si prega di lasciare un commento se si sa diversamente. ) Quindi lasciatelo vuoto se non siete sicuri.

Qual è l'uso previsto di una "Password di verifica"?

Per quanto ho capito l'idea è questa:
Se hai un amministratore non autorizzato che ha accesso al certificato e alla chiave, allora quell'amministratore potrebbe revocare il certificato e il DOS.

Ma se hai una CA che sfiderà l'amministratore dei ladri a fornire la "password di sfida" , allora l'amministratore non autorizzato potrebbe non avere quella password e quindi sarai al sicuro da quel DOS. < br> (Il CP NON è incluso né nel certificato né nella chiave.) Solo nella CSR. E non è necessario il CSR per le operazioni quotidiane, quindi presumibilmente il personale operativo potrebbe non entrare in contatto con il file CSR e quindi non conoscere il Sfida la password .) (Ma tieni presente che devi ancora preoccuparti di un amministratore di ladri che ha la tua chiave / chiave.) Molto dalla mia comprensione, non ottieni esattamente nulla dall'avere una "password di sfida" nella - Correggimi se sbaglio, ho la sensazione che mi manchi qualche idea essenziale qui - Forse questo è inteso per permettere la revoca di qualcuno che tiene solo il certificato e la password ma NON il privato chiave.)

Ulteriori letture

La definizione ufficiale (troppo breve) è qui: RFC 2985: PKCS # 9: classi di oggetti e tipi di attributi selezionati Versione 2.0, Sezione 5.4.1: Sfida la password

La domanda viene visualizzata regolarmente:

Ulteriore fonte:

risposta data 30.12.2014 - 03:07
fonte
2

La risposta più facile per spiegare perché la password vuota è piuttosto semplice. il tuo non sarà in giro per inserire la password quando il servizio si avvia / riavvia. e l'unico modo per far funzionare in modo affidabile la chiave del server in tale scenario è avere una chiave vuota.

è lo stesso motivo per cui le chiavi del server HTTPS sono "vuote" con password.

    
risposta data 29.12.2014 - 11:56
fonte

Leggi altre domande sui tag