Чому `--duplicate-cn` не рекомендується у OpenVPN?

24

Це з міркувань безпеки чи з результативності?

openvpn

— Ченг
джерело

12

Причина безпеки.

З --duplicate-cn допускаються два з'єднання з однаковою загальною назвою, тому один серт може використовуватися більш ніж одним з'єднанням / користувачами.

Без --duplicate-cn, кожен vpn cert повинен мати свій власний CN, тому кожне з'єднання / користувач має один унікальний cert.

— sntg
джерело

3

хотілося б, щоб я спростував цей ... він не відповідає на питання і лише частково описує побічні ефекти.

— Річард

1

Ви не відповіли "чому".

— warvariuc

45

Це насправді жодна з цих причин. Якби це був один із цих двох варіантів, ви можете стверджувати, що це безпека. Однак одне використання дубліката-cn не робить вашу VPN менш безпечною. Я знаю дві причини. Перший - це занепокоєння щодо керування обліковими даними, які використовуються для автентифікації в VPN - якщо багато клієнтів використовують один і той же сертифікат, то відкликання цього сертифікату також скасовує доступ для всіх клієнтів, які ним користуються, що може бути, а може і не бути бажаним. Крім того, клієнтський пристрій звичайно здійснює роумінг та ініціює з'єднання з діапазону загальнодоступних адрес - у тих випадках, швидше за все, бажано, щоб цей пристрій зберігав ту саму адресу в VPN, незважаючи на роумінг, який вимагає наявності не більше одного з'єднання на сертифікат клієнта.

Дійсний випадок використання дубліката-cn може бути там, де ваші клієнтські пристрої не роумують, і вам не байдуже контролювати доступ клієнт-клієнт, і ваш більший пріоритет - не витрачати занадто багато часу на керування ключами та сертифікатами. Я вважаю, що основою їхньої рекомендації є той факт, що подібні випадки є меншиною, а також, що більшість людей не розуміють безпеку, а тим більше безпеку на основі PKI, і вони не хочуть каламутити води для таких людей.

— Залізний Спас
джерело

5

Це має бути прийнятою відповіддю.

— неприйняття

5

Причина, що ми використовуємо дублікат-cn, полягає в тому, що користувач може мати однаковий сертифікат для мобільного та ноутбука. Також управління Unifiy цього користувача. Хоча я не знаю, чому я отримую попередженняWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want

— Крістіан

2

Я думаю, що причина, що дублікат-cn та client-config-dir разом не рекомендується, пов'язана з проблемами, які виникли, якщо конкретний користувач має конфігурацію зі статичним IP-адресою і вони підключаються з декількох пристроїв одночасно. У цій ситуації все не вийде. Поки багато користувачів з’єднання не мають статичних IP-адрес клієнта-конфігурації, не повинно виникнути проблем.

— користувач389695
джерело