我知道要运行Openvpn服务,您必须以root身份login才能启动它,但是如何创build密钥呢? 到目前为止,似乎你可以做到没有root权限,但我想知道这是否会困扰我在设置线以下的某个地方。
不,你不是。 普通用户可以创build密钥,但是您必须是root用户才能更改configuration以使用指定密钥的OpenVPN,并控制服务本身。
一旦服务器被设置为接受由特定CA(证书颁发机构)签署的任何密钥,它将完成这个操作,而不pipe密钥是在哪里生成的或者是由谁签署的。
您甚至不需要在openvpn安装的同一台计算机上安装CA. 唯一重要的是限制对CA文件的访问; 如果有人可以得到私钥,那么他们也可以生成密钥,让他们进入。
你也应该看看撤销:它是在CA完成的,但是当证书被吊销时,openvpn服务器需要更新一个文件的副本。
如果您曾经相信CA已被盗用,为了确保安全,您必须停止使用该CA,并使用新的CA私钥重新颁发所有密钥。