小智 60
其实这两个原因都不是。如果它必须是这两个选项之一,您可能会争辩说这是安全性。但是,单独使用duplicate-cn 并不会降低您的VPN 的安全性。我知道有两个原因。第一个是关于管理用于在 VPN 上进行身份验证的凭据的问题——如果许多客户端使用相同的证书,那么撤销该证书也会撤销所有使用它的客户端的访问权限,这可能是可取的,也可能是不可取的。此外,客户端设备漫游并从一系列公共地址发起连接是很常见的——在这些情况下,尽管漫游,但更可能希望该设备在 VPN 上保留相同的地址,这需要有每个客户端证书不超过一个连接。
复制 cn 的一个有效用例可能是您的客户端设备不漫游,您不关心逐个客户端控制访问,并且您的更高优先级不是花太多时间管理密钥和证书。我相信他们建议的基础是这样的情况是少数,而且大多数人不了解安全性,更不用说基于 PKI 的安全性,他们不想为这些人搅浑水。
小智 14
安全原因。
使用--duplicate-cn,允许两个具有相同公共名称的连接,因此一个证书可以被多个连接/用户使用。
如果没有 --duplicate-cn,每个 vpn 证书都必须有自己的 CN,因此每个连接/用户都有一个唯一的证书。
小智 6
我认为不推荐将duplicate-cn和client-config-dir放在一起的原因是如果特定用户具有静态IP的配置并且他们同时从多个设备连接会出现问题。在这种情况下,事情不会顺利进行。只要多连接用户没有client-config-dir静态IP,就不会有问题。