我可以在到同一服务器的多个 OpenVPN 隧道中使用相同的客户端证书吗?

我可以在到同一服务器的多个 OpenVPN 隧道中使用相同的客户端证书吗?

我有一个简单的设置,如下:

服务器 ---- 互联网 ---- 客户端

在服务器上,我已经为客户端设置了 OpenVPN,并为其颁发了证书。在客户端,我已经设置了 OpenVPN,以便使用其密钥联系服务器,并且一切正常。

现在,我想在服务器和客户端之间建立另一个具有不同设置的 OpenVPN 连接(例如,第一个是 TCP,另一个是 UDP)。

在这种情况下,我可以在第二个连接的配置中重用第一个连接的证书/密钥吗?

这是个好做法吗?为什么/为什么不?有什么注意事项吗?

答案1

当然,您可以重复使用它。我认为如果您的客户端是同一台机器/用户,这是首选。您还可以使用 OpenVPN 配置指令 duplicate-cn,它将告诉 OpenVPN 守护程序接受具有相同证书的多个客户端。

不,这不是一个好的做法:

  • 因为如果一个证书被泄露,你的网络的许多点都可能失去安全性,
  • 您可以在 SSL 证书中使用 CN 字段,该字段对于每个客户端都需要是唯一的,以便在 OpenVPN 中执行许多好事:例如 CN <-> OpenVPN IP 地址关联,每个客户端的 ccd 配置目录(每个客户端的配置不同)。

但它可能会在小型网络或某些配置中被接受。

相关内容