Easy-RSAのbuild-key-serverおよびbuild-keyでチャレンジパスワードを使用する方法を教えてください。
私が見つけたすべてのOpenVPN/ Easy-RSAチュートリアル 、キーを作成するときに空のチャレンジパスワードを設定することをお勧めしますOpenVPNサーバー用。
誰かが理由を知っていますか? Easy-RSAサーバーのキーのチャレンジパスワードの使用目的は何ですか?
そして、クライアントのキーはどうですか?
build-key-passは、暗号化されたクライアントキーを生成するために存在しますが、同等のサーバーは存在しません。それでも、両方のbuild-keyおよびbuild-key-passチャレンジパスワードを要求します。
「チャレンジパスワード」はあいまいで、通常は役に立たない機能です。 ->空のままにします。
CAがこれを許可している場合、Challenge Passwordは、証明書を取り消そうとするすべてのユーザーに必要です。 -しかし、私が理解していることから、実際にこれを使用するCAはほとんどありません(またはなし)。 (他にご存知の場合はコメントを残してください。)不明な場合は空のままにしてください。
「チャレンジパスワード」の使用目的は何ですか?
私がそれを理解する限り、考えはこれです:
証明書とキーにアクセスできる悪質な管理者がいる場合、その管理者は証明書を取り消すことができ、DOSを使用できます。
しかし、不正な管理者に「チャレンジパスワード」の提供を要求するCAがある場合、不正な管理者はそのパスワードを持たない可能性があり、そのDOSから安全です。
(CPは証明書にもキーにも含まれていません。CSRにのみ含まれています。また、日常の運用ではCSRは必要ないため、おそらく運用担当者がCSRファイルに接触しないため、 チャレンジパスワードを知っている(ただし、証明書/キーを持っている悪質な管理者についてはまだ心配する必要があることに注意してください。私の理解では、最初に「チャレンジパスワード」を設定してもまったく何も得られません。-私が間違っている場合は修正してください。ここにいくつかの重要なアイデアが欠けているような気がします。-これはおそらく証明書とパスワードのみを保持し、秘密鍵は保持しない誰かによる取り消しを許可するため。)
参考文献
(短すぎる)公式定義は次のとおりです: RFC 2985:PKCS#9:選択されたオブジェクトクラスと属性タイプバージョン2.0、セクション5.4.1:チャレンジパスワード
質問は定期的に出てきます:
- https://superuser.com/questions/376179/confusion-with-pem-pass-phrase-and-challenge-password
- https://serverfault.com/questions/266232/what-is-a-challenge-password
さらなる情報源:
- Randall Perry、「OpenSSL-Users」メーリングリスト、2014-05-22、 Re:CSRチャレンジパスワード:何がポイントですか?
空のパスワードがかなり単純な理由の最も簡単な答え。あなたがサービスを開始/再起動したときにENTERパスワードに近づくことはありませんそのシナリオでサーバーキーを確実に機能させる唯一の方法は、空のキーを用意することです。
hTTPSサーバーキーに「空の」パスワードが設定されるのと同じ理由です。