Почему `--duplicate-cn` не рекомендуется в OpenVPN?

24

Это по соображениям безопасности или производительности?

Cheng
источник

Ответы:

12

Причина безопасности.

При использовании --duplicate-cn допускаются два подключения с одинаковым общим именем, поэтому один сертификат может использоваться более чем одним подключением / пользователями.

Без --duplicate-cn каждый сертификат vpn должен иметь свой собственный CN, поэтому каждое соединение / пользователь имеет один уникальный сертификат.

sntg
источник
3
если бы я мог понизить это ... он не отвечает на вопрос и лишь частично описывает побочные эффекты.
Ричард
1
Вы не ответили «почему».
warvariuc
45

Это на самом деле ни одна из этих причин. Если бы это был один из этих двух вариантов, вы могли бы утверждать, что это безопасность. Однако использование только duplicate-cn не делает вашу VPN менее безопасной. Есть две причины, которые я знаю. Первый - это забота об управлении учетными данными, используемыми для аутентификации в VPN - если многие клиенты используют один и тот же сертификат, то отзыв этого сертификата также аннулирует доступ для всех клиентов, которые его используют, что может быть или не желательно. Кроме того, для клиентского устройства характерно выполнять роуминг и инициировать соединения из диапазона общедоступных адресов - в этих случаях более вероятно, что это устройство должно сохранять тот же адрес в VPN, несмотря на роуминг, который требует наличия не более одного соединения на сертификат клиента.

Допустимый вариант использования duplicate-cn может быть в том случае, когда ваши клиентские устройства не перемещаются, и вам не нужно контролировать доступ на основе клиент-клиент, и ваш более высокий приоритет - не тратить слишком много времени на управление ключами и сертификатами. Я полагаю, что основанием для их рекомендации является тот факт, что такие случаи находятся в меньшинстве, а также то, что большинство людей не понимают безопасность, тем более безопасность, основанную на PKI, и они не хотят запачкать воду для таких людей.

Железный Спаситель
источник
5
Это должен быть принятый ответ.
небытие
5
Причина, по которой мы используем duplicate-cn, заключается в том, что пользователь может иметь одинаковые сертификаты для мобильных устройств и ноутбуков. Также управление Unifiy этого пользователя. Хотя я не знаю, почему я получаю предупреждениеWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Кристиан
2

Я думаю, что причина того, что duplicate-cn и client-config-dir вместе не рекомендуются, связана с проблемами, которые могут возникнуть, если конкретный пользователь имеет конфигурацию со статическим IP-адресом и он подключается с нескольких устройств одновременно. В этой ситуации все будет плохо. Пока у нескольких пользователей соединения нет статических IP-адресов client-config-dir, проблем не должно быть.

user389695
источник