Tutti i tutorial OpenVPN / Easy-RSA che ho trovato, consigliano di impostare un vuoto sfida la password durante la creazione della chiave per il server OpenVPN.
Qualcuno sa perché? A cosa serve la challenge password nelle chiavi del server Easy-RSA?
E le chiavi del cliente? Vedo che esiste un build-key-pass per generare chiavi client crittografate, ma non esiste un equivalente server. Tuttavia, sia build-key che build-key-pass richiedono una password di sfida .
Se la tua CA lo consente, verrà richiesto il Challenge Password di chiunque tenti di ottenere la revoca del certificato. - Ma da quello che ho capito ci sono poche ( o nessuna? ) CA che effettivamente usano questo. ( Si prega di lasciare un commento se si sa diversamente. ) Quindi lasciatelo vuoto se non siete sicuri.
Per quanto ho capito l'idea è questa:
Se hai un amministratore non autorizzato che ha accesso al certificato e alla chiave, allora quell'amministratore potrebbe revocare il certificato e il DOS.
Ma se hai una CA che sfiderà l'amministratore dei ladri a fornire la "password di sfida" , allora l'amministratore non autorizzato potrebbe non avere quella password e quindi sarai al sicuro da quel DOS. < br> (Il CP NON è incluso né nel certificato né nella chiave.) Solo nella CSR. E non è necessario il CSR per le operazioni quotidiane, quindi presumibilmente il personale operativo potrebbe non entrare in contatto con il file CSR e quindi non conoscere il Sfida la password .) (Ma tieni presente che devi ancora preoccuparti di un amministratore di ladri che ha la tua chiave / chiave.) Molto dalla mia comprensione, non ottieni esattamente nulla dall'avere una "password di sfida" nella - Correggimi se sbaglio, ho la sensazione che mi manchi qualche idea essenziale qui - Forse questo è inteso per permettere la revoca di qualcuno che tiene solo il certificato e la password ma NON il privato chiave.)
La definizione ufficiale (troppo breve) è qui: RFC 2985: PKCS # 9: classi di oggetti e tipi di attributi selezionati Versione 2.0, Sezione 5.4.1: Sfida la password
La domanda viene visualizzata regolarmente:
Ulteriore fonte:
La risposta più facile per spiegare perché la password vuota è piuttosto semplice. il tuo non sarà in giro per inserire la password quando il servizio si avvia / riavvia. e l'unico modo per far funzionare in modo affidabile la chiave del server in tale scenario è avere una chiave vuota.
è lo stesso motivo per cui le chiavi del server HTTPS sono "vuote" con password.