OpenVPN-パスワード認証のみ
回答:
サーバー/ CA証明書がなくても、ユーザー名/パスワードを使用して完全に認証できます。しかし、私は非常にお勧め、それを確認するために、それを構成して man-in-the-middle攻撃を防ぐために、あなたのCA証明書。
サーバーの検証がなければ、誰でもOpenVPNサーバーになりすましてユーザー名/パスワードを受け入れることができます。結果:
- 攻撃者はすべてのトラフィックを傍受できます。接続しているサーバーを確認しないと、誰でもパブリックネットワーク(または攻撃者が制御するプライベートネットワーク)のサーバーであると主張できます。
- 攻撃者はユーザー名とパスワードの組み合わせを知っています。同じパスワードを他のものに再利用する場合、非常に悪い。
Network Managerでは、以下に示すようにCA Certがなくても正常に機能しますが、そのように使用しないでください。Windowsでサーバー/ CA証明書を使用しない場合、上記の攻撃に対して非常に脆弱です。
私はここで答えを見つけました:http : //openvpn.net/index.php/open-source/documentation/howto.html#auth
まだサーバー証明書が必要です
クライアント認証の唯一の形式としてのユーザー名/パスワード認証の使用
デフォルトでは、サーバーでauth-user-pass-verifyまたはユーザー名/パスワードチェックプラグインを使用すると、二重認証が有効になり、クライアントが認証されるためには、クライアント証明書とユーザー名/パスワードの両方の認証が成功する必要があります。
セキュリティの観点からは推奨されませんが、クライアント証明書の使用を無効にし、ユーザー名/パスワード認証のみを強制することもできます。サーバー上:
client-cert-not-required通常、このような構成も設定する必要があります。
username-as-common-nameは、サーバーがクライアント証明書を介して認証していたクライアントの共通名を使用するため、インデックス作成の目的でユーザー名を使用するように指示します。
client-cert-not-requiredはサーバー証明書の必要性を未然に防ぎません。そのため、client-cert-not-requiredを使用するサーバーに接続しているクライアントは、クライアント構成ファイルからcertおよびkeyディレクティブを削除できますが、クライアントがサーバー証明書を検証する必要があるため、caディレクティブ。