Я читал о параметрах, которые сценарий OpenVPN build-key использует для генерации частного клиентского ключа (с OpenSSL), и я заметил параметр «-nodes». Согласно документации, этот параметр предназначен для создания незашифрованного ключа. Что ж, я не эксперт по OpenVPN, поэтому я не уверен, стоит ли мне это менять, особенно потому, что это вариант по умолчанию. Главный вопрос: почему OpenVPN делает этот выбор при генерации закрытых ключей? Это не менее безопасно?
Если вы зашифруете ключ, вам нужно будет предоставить парольную фразу для его расшифровки при каждом запуске openvpn. То же самое, что ssh key-agent делает для ключей ssh, чтобы вам не приходилось расшифровывать их при каждом вызове, но, насколько мне известно, нет эквивалента ssh-agent для openvpn.
Такая же ситуация возникает с ключом / сертификатом x509 для SSL с apache.