Tại sao `--d repeatate-cn` không được đề xuất trong OpenVPN?

24

Đây là vì lý do bảo mật, hay lý do hiệu suất?

openvpn

— Thành
nguồn

12

Lý do an ninh.

Với --d repeatate-cn, hai kết nối có cùng tên chung được cho phép, do đó, một chứng chỉ có thể được sử dụng bởi nhiều hơn một kết nối / người dùng.

Không có --d repeatate-cn, mỗi chứng chỉ vpn phải có CN riêng, vì vậy mỗi kết nối / người dùng có một chứng chỉ duy nhất.

— sntg
nguồn

3

ước gì tôi có thể downvote cái này ... nó không trả lời câu hỏi và chỉ mô tả một phần các tác dụng phụ.

— Richard

1

Bạn chưa trả lời "tại sao".

— warvariuc

45

Đó thực sự không phải là những lý do. Nếu nó phải là một trong hai lựa chọn đó, bạn có thể lập luận rằng đó là bảo mật. Tuy nhiên, chỉ sử dụng trùng lặp cn không làm cho VPN của bạn kém an toàn hơn. Có hai lý do mà tôi biết. Đầu tiên là mối quan tâm về việc quản lý thông tin đăng nhập được sử dụng để xác thực trên VPN - nếu nhiều khách hàng sử dụng cùng một chứng chỉ, sau đó thu hồi chứng chỉ đó cũng thu hồi quyền truy cập cho tất cả các khách hàng sử dụng nó, điều này có thể hoặc không mong muốn. Ngoài ra, thông thường, một thiết bị khách sẽ chuyển vùng và bắt đầu các kết nối từ một loạt các địa chỉ công cộng - trong những trường hợp đó, thiết bị đó có nhiều khả năng muốn giữ lại cùng một địa chỉ trên VPN mặc dù phải chuyển vùng, đòi hỏi phải có chuyển vùng không quá một kết nối cho mỗi chứng chỉ ứng dụng khách.

Trường hợp sử dụng hợp lệ cho trùng lặp cn có thể là nơi các thiết bị khách của bạn không chuyển vùng và bạn không quan tâm đến việc kiểm soát quyền truy cập trên cơ sở khách hàng và ưu tiên cao hơn của bạn là không mất quá nhiều thời gian để quản lý khóa và chứng chỉ. Tôi tin rằng cơ sở của khuyến nghị của họ là thực tế là những trường hợp như vậy là thiểu số và hầu hết mọi người không hiểu về an ninh, an ninh dựa trên PKI ít hơn nhiều và họ không muốn làm vấy bẩn vùng biển cho những người như vậy.

— Cứu tinh
nguồn

5

Đây phải là câu trả lời được chấp nhận.

— sự không có

5

Lý do chúng tôi sử dụng trùng lặp cn là vì vậy người dùng có thể có cùng chứng chỉ cho thiết bị di động và máy tính xách tay. Ngoài ra quản lý của unifiy của người dùng đó. Mặc dù tôi không biết tại sao tôi nhận được cảnh báoWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want

— Christian

2

Tôi nghĩ rằng lý do mà trùng lặp-cn và client-config-dir không được khuyến nghị là do các vấn đề sẽ phát sinh nếu một người dùng cụ thể có cấu hình với IP tĩnh và chúng kết nối từ nhiều thiết bị cùng một lúc. Mọi thứ sẽ không hoạt động tốt trong tình huống đó. Miễn là nhiều người dùng kết nối không có IP tĩnh client-config-dir, sẽ không có vấn đề gì.

— người dùng389695
nguồn