Мне любопытно, что вы думаете об openvpn клиент crt / key security
В большинстве случаев (учебные руководства) клиентский ключ / crt генерируется на одном сервере openvpn, и никто не заботится о будущем. Это безопасно, пока кто-то попадает на сервер :)
Есть много сценариев того, как это может быть поток. Я бы хотел предотвратить 'подмена клиента ' - где привилегия person / admin (внутренняя атака) стали учетными данными пользователя (key / crt) непосредственно с сервера и использовать их для подключения как кого-то другого.
Думаю, единственный способ предотвратить это:
Недостаток: если пользователь снова запросит ключ - извините - у вас его нет, вам нужно сгенерировать новую пару ключ / crt (и отозвать старую!)
Что бы вы об этом подумали?
Некоторая тема: https://security.stackexchange.com/questions/66948/openvpn-storage-location-and-creation-of-keys-certificates