我们正在尝试为我们的企业运行 OpenVPN 服务器。我似乎找不到答案的一个问题是:
当我们为某个用户生成密钥供其在家使用时,他们是否可以在家用笔记本电脑和家用台式机上使用相同的密钥?还是我们需要为每个用户的客户端计算机生成单独的密钥?
答案1
这是一个简单的密钥管理问题。从技术上讲,没有什么可以阻止您在多个位置使用同一密钥。您甚至可以同时使用它们。但是,在多个系统上使用同一密钥会使撤销变得更加困难。它还限制了您可以进行的用户跟踪。
让用户在所有系统中使用同一个密钥是一种常见做法,也是我推荐的做法。如果用户拥有 root 访问权限,则很难阻止他们移动密钥。
确保不要陷入对所有用户使用单一密钥的陷阱。如果有人在中国忘记了笔记本电脑,那就麻烦了。
答案2
您不需要拥有多个密钥,但是默认情况下,仅允许使用特定密钥进行一次连接,也就是说,如果用户不断开其 VPN 连接,您可能会遇到问题。duplicate-cn配置文件中有一个设置 ( ) 允许使用特定证书/密钥进行多次连接。