Я знаю, что для запуска службы Openvpn вы должны войти в систему как root, чтобы запустить ее, но как насчет создания ключей? Пока кажется, что вы можете сделать это без привилегий root, но мне интересно, будет ли это преследовать меня где-нибудь дальше по линии установки.
Нет, ты не. Обычный пользователь может создавать ключи, но вы должны быть root, чтобы изменить конфигурацию для использования OpenVPN с указанными ключами и для управления самой службой.
После того, как сервер настроен на прием любого ключа, подписанного определенным ЦС (центром сертификации), он будет делать именно это, независимо от того, где или кем были сгенерированы ключи.
Вам даже не обязательно иметь CA на том же компьютере, что и установка openvpn. Единственное, что действительно важно, - это ограничить доступ к файлам CA; если кто-то может получить закрытый ключ, он тоже может сгенерировать ключи, которые позволят ему войти.
Вы также должны обратить внимание на отзыв: это делается в CA, но сервер openvpn необходимо обновлять копией файла всякий раз, когда сертификат отзывается.
Если вы когда-либо считаете, что ЦС скомпрометирован, для гарантии безопасности вам необходимо прекратить использование этого ЦС и повторно выпустить все ключи с новый закрытый ключ CA.