Это по соображениям безопасности или производительности?
24
Причина безопасности.
При использовании --duplicate-cn допускаются два подключения с одинаковым общим именем, поэтому один сертификат может использоваться более чем одним подключением / пользователями.
Без --duplicate-cn каждый сертификат vpn должен иметь свой собственный CN, поэтому каждое соединение / пользователь имеет один уникальный сертификат.
Это на самом деле ни одна из этих причин. Если бы это был один из этих двух вариантов, вы могли бы утверждать, что это безопасность. Однако использование только duplicate-cn не делает вашу VPN менее безопасной. Есть две причины, которые я знаю. Первый - это забота об управлении учетными данными, используемыми для аутентификации в VPN - если многие клиенты используют один и тот же сертификат, то отзыв этого сертификата также аннулирует доступ для всех клиентов, которые его используют, что может быть или не желательно. Кроме того, для клиентского устройства характерно выполнять роуминг и инициировать соединения из диапазона общедоступных адресов - в этих случаях более вероятно, что это устройство должно сохранять тот же адрес в VPN, несмотря на роуминг, который требует наличия не более одного соединения на сертификат клиента.
Допустимый вариант использования duplicate-cn может быть в том случае, когда ваши клиентские устройства не перемещаются, и вам не нужно контролировать доступ на основе клиент-клиент, и ваш более высокий приоритет - не тратить слишком много времени на управление ключами и сертификатами. Я полагаю, что основанием для их рекомендации является тот факт, что такие случаи находятся в меньшинстве, а также то, что большинство людей не понимают безопасность, тем более безопасность, основанную на PKI, и они не хотят запачкать воду для таких людей.
источник
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Я думаю, что причина того, что duplicate-cn и client-config-dir вместе не рекомендуются, связана с проблемами, которые могут возникнуть, если конкретный пользователь имеет конфигурацию со статическим IP-адресом и он подключается с нескольких устройств одновременно. В этой ситуации все будет плохо. Пока у нескольких пользователей соединения нет статических IP-адресов client-config-dir, проблем не должно быть.
источник