预共享密钥(PSK)
- 用途:用于IPSec VPN或某些企业级VPN中,客户端和服务器提前共享的密码。
- 特点:
- 双方需手动配置相同的密钥。
- 安全性取决于密钥的复杂性和保密性(建议使用长随机字符串)。
- 示例:企业分支机构间通过IPSec VPN连接时使用的密钥。
证书和公钥/私钥
- 用途:OpenVPN、WireGuard等协议使用非对称加密(如RSA、ECDSA)和TLS证书。
- 特点:
- 私钥(保密):存储在客户端/服务器端,用于解密数据或签名。
- 公钥(公开):用于加密数据或验证签名。
- 证书:由CA签发,验证身份(如OpenVPN的
.crt文件)。
- 示例:WireGuard的客户端和服务器各自拥有公钥和私钥。
动态密钥(临时会话密钥)
- 用途:通过密钥交换协议(如Diffie-Hellman)动态生成,用于临时会话加密。
- 特点:
- 前向保密性(即使长期密钥泄露,历史会话仍安全)。
- 常见于现代VPN协议(如IKEv2、WireGuard)。
用户认证密钥
- 用途:VPN登录凭据(如用户名/密码、OTP),与加密密钥分开。
- 示例:企业VPN可能要求LDAP密码+证书双重认证。
如何获取或生成VPN密钥?
- 自建VPN:
- OpenVPN:使用
easy-rsa脚本生成证书和密钥。 - WireGuard:通过
wg genkey生成私钥,再导出公钥。
- OpenVPN:使用
- 商业VPN服务:通常自动分配密钥(如通过客户端软件)。
安全建议
- 强密码:PSK应足够复杂(如32位随机字符)。
- 保护私钥:私钥文件(如
.key)必须严格保密。 - 定期更换:尤其在高安全需求场景中。
如果需要具体协议的密钥配置步骤(如OpenVPN或WireGuard),可进一步说明!









