Pourquoi `--duplicate-cn` n'est pas recommandé dans OpenVPN?

24

Est-ce pour des raisons de sécurité ou de performances?

Cheng
la source

Réponses:

12

Raison de sécurité.

Avec --duplicate-cn, deux connexions avec le même nom commun sont autorisées, donc un certificat peut être utilisé par plus d'une connexion / utilisateurs.

Sans --duplicate-cn, chaque certificat vpn doit avoir son propre CN, donc chaque connexion / utilisateur a un certificat unique.

sntg
la source
3
souhaite que je puisse downvote celui-ci ... il ne répond pas à la question et ne décrit que partiellement les effets secondaires.
Richard
1
Vous n'avez pas répondu "pourquoi".
warvariuc
45

Ce n'est en fait ni l'une ni l'autre de ces raisons. S'il devait s'agir de l'une de ces deux options, vous pourriez dire que c'est la sécurité. Cependant, l'utilisation de duplicate-cn seul ne rend pas votre VPN moins sûr. Il y a deux raisons que je connais. Le premier concerne la gestion des informations d'identification utilisées pour l'authentification sur le VPN - si de nombreux clients utilisent le même certificat, la révocation de ce certificat révoque également l'accès pour tous les clients qui l'utilisent, ce qui peut ou non être souhaitable. En outre, il est courant qu'un appareil client se déplace et initie des connexions à partir d'une plage d'adresses publiques - dans ces cas, il est plus probable que cet appareil conserve la même adresse sur le VPN malgré l'itinérance, ce qui nécessite qu'il y ait pas plus d'une connexion par certificat client.

Un cas d'utilisation valide pour duplicate-cn peut être lorsque vos appareils clients ne se déplacent pas et que vous ne vous souciez pas de contrôler l'accès client par client et que votre priorité plus élevée ne passe pas trop de temps à gérer les clés et les certificats. Je crois que la base de leur recommandation est le fait que de tels cas sont minoritaires et aussi que la plupart des gens ne comprennent pas la sécurité, encore moins la sécurité basée sur l'ICP et ils ne veulent pas brouiller les eaux pour ces personnes.

Sauveur de fer
la source
5
Ce devrait être la réponse acceptée.
nonbeing
5
La raison pour laquelle nous utilisons duplicate-cn est qu'un utilisateur peut avoir le même certificat pour mobile et ordinateur portable. Gestion également unifiy de cet utilisateur. Bien que je ne sache pas pourquoi je reçois l'avertissementWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Je pense que la raison pour laquelle duplicate-cn et client-config-dir ne sont pas recommandés ensemble est due aux problèmes qui pourraient survenir si un utilisateur spécifique a une configuration avec une IP statique et qu'il se connecte à partir de plusieurs appareils en même temps. Les choses ne vont pas bien fonctionner dans cette situation. Tant que les utilisateurs à connexion multiple n'ont pas d'adresse IP statique client-config-dir, il ne devrait pas y avoir de problème.

user389695
la source