为什么不推荐在 OpenVPN 中使用 `--duplicate-cn`？

Question 1

安全原因。

使用 --duplicate-cn，允许两个具有相同通用名称的连接，因此一个证书可以被多个连接/用户使用。

如果没有 --duplicate-cn，每个 vpn 证书都必须有自己的 CN，因此每个连接/用户都有一个唯一的证书。

Answer

安全原因。

使用 --duplicate-cn，允许两个具有相同通用名称的连接，因此一个证书可以被多个连接/用户使用。

如果没有 --duplicate-cn，每个 vpn 证书都必须有自己的 CN，因此每个连接/用户都有一个唯一的证书。

Question 2

其实不是这两个原因。如果非要选其中一个，你可能会说是安全问题。但是，仅使用 duplicate-cn 不会降低 VPN 的安全性。我知道有两个原因。第一个原因是担心管理用于在 VPN 上进行身份验证的凭据 - 如果许多客户端使用相同的证书，则撤销该证书也会撤销所有使用该证书的客户端的访问权限，这可能是可取的，也可能不是。此外，客户端设备通常会漫游并从一系列公共地址发起连接 - 在这些情况下，更有可能希望该设备在漫游时仍保留 VPN 上的相同地址，这要求每个客户端证书的连接数不能超过一个。

duplicate-cn 的一个有效用例可能是您的客户端设备不漫游，您不关心逐个客户端控制访问，并且您的首要任务是不要花太多时间管理密钥和证书。我相信他们提出建议的依据是，这种情况是少数，而且大多数人不了解安全性，更不用说基于 PKI 的安全性了，他们不想让这些人感到困惑。

Answer

其实不是这两个原因。如果非要选其中一个，你可能会说是安全问题。但是，仅使用 duplicate-cn 不会降低 VPN 的安全性。我知道有两个原因。第一个原因是担心管理用于在 VPN 上进行身份验证的凭据 - 如果许多客户端使用相同的证书，则撤销该证书也会撤销所有使用该证书的客户端的访问权限，这可能是可取的，也可能不是。此外，客户端设备通常会漫游并从一系列公共地址发起连接 - 在这些情况下，更有可能希望该设备在漫游时仍保留 VPN 上的相同地址，这要求每个客户端证书的连接数不能超过一个。

duplicate-cn 的一个有效用例可能是您的客户端设备不漫游，您不关心逐个客户端控制访问，并且您的首要任务是不要花太多时间管理密钥和证书。我相信他们提出建议的依据是，这种情况是少数，而且大多数人不了解安全性，更不用说基于 PKI 的安全性了，他们不想让这些人感到困惑。

Question 3

我认为不建议将 duplicate-cn 和 client-config-dir 一起使用的原因是，如果特定用户的配置为静态 IP，并且他们同时从多个设备连接，则会出现问题。在这种情况下，事情不会顺利进行。只要多个连接用户没有 client-config-dir 静态 IP，就不会有问题。

Answer

我认为不建议将 duplicate-cn 和 client-config-dir 一起使用的原因是，如果特定用户的配置为静态 IP，并且他们同时从多个设备连接，则会出现问题。在这种情况下，事情不会顺利进行。只要多个连接用户没有 client-config-dir 静态 IP，就不会有问题。

为什么不推荐在 OpenVPN 中使用 `--duplicate-cn`？

答案1

答案2

答案3

相关内容