На моем сервере OpenVPN я генерирую pfs.key файл (идеальная прямая секретность) с помощью команды openvpn --genkey --secret pfs.key, в моем файле конфигурации клиента он включает это pfs.key файл (и в файле конфигурации сервера), поэтому у меня вопрос, безопасно ли давать клиентам сгенерированные pfs.key файл? Т.е. Предоставил бы клиентам pfs.key файл может вызывать беспокойство с точки зрения безопасности?
Конфигурация клиента включает файл pfs.key вот так
tls-auth /path/to/pfs.key
Вы неправильно используете ключи, если ключ, созданный с помощью easyrsa gen-dh используется в tls-auth линия.
Файл, который вы создаете с помощью easyrsa gen-dh нужно только добавить в конфигурацию сервера через dh dh.pem конфигурационная строка.
https://security.stackexchange.com/questions/42415/openvpn-dhparam
Параметры - это просто простые числа, а не ключи. Они не должны быть уникальными или секретными, но они также не должны быть специально созданы злоумышленником.
Ключ, который вы используете для tls-auth, должен был быть сгенерирован с помощью такой команды, как openvpn --genkey --secret ta.key
https://community.openvpn.net/openvpn/wiki/Harnding#Useof--tls-auth
Ваш ключ использовался для tls-auth следует хранить как можно в секрете. Клиенты, которые подключаются, должны это знать, но вы не хотите передавать это людям, у которых не должно быть доступа. Это общий секрет. На самом деле для безопасности OpenVPN не требуется, он просто добавляет дополнительный уровень аутентификации.