Здравтствуйте!
1. В версию ПО 1.4.0 будут добавлены алгоритмы шифрования, в том числе и AES-256-CBC, так же добавится возможность выбора алгоритма хэша.
2. DH 2048 и более использовать можно.
3. В текущей реализации для генерации сертификатов используйте easyrsa, вот краткая инструкция, более полную можно получить на портале
https://openvpn.net/index.php/open-sour ... ement.html1) создание удостоверяющего центра:
./easyrsa build-ca [nopass] -> ca.key ; ca.crt
2) создание сервера openvpn:
генерируем запрос на подпись
./easyrsa gen-req server [nopass] -> server.key ; server.req
отправляем server.req на СА
./easyrsa import-req PATH_TO_server.req server-name
подписываем сертификат для сервера
./easyrsa sign-req server server-name -> server.crt
отправляем server.crt на сервер
генерируем файл Диффи-Хелмана (20-30 минут)
./easyrsa gen-dh -> dh.pem
более быстрый способ:
openssl dhparam -out PATH_TO_OUTPUT_FILE 2048
создание HMAC
openvpn --genkey --secret ta.key -> ta.key
3) создание клиента:
генерируем запрос на подпись
./easyrsa gen-req client [nopass] -> client.key ; client.req
отправляем client.req на CA
./easyrsa import-req PATH_TO_client.req client-name
подписываем сертификат для клиента
./easyrsa sign-req client client-name -> client.crt
отправляем client.crt, ca.crt, ta.key
4) создание списка отзыва сертификатов (необязательно):
генерируем список
./easyrsa gen-crl -> crl.pem
отзыв сертификата
./easyrsa revoke {username} -> crl.pem
отправляем crl.pem на сервер
перезапускаем сервер