Les clés OpenVPN générées peuvent-elles être utilisées sur plusieurs clients?

32

Nous expérimentons l’exécution d’un serveur OpenVPN pour notre entreprise. Une question à laquelle je n'arrive pas à trouver la réponse est la suivante:

Lorsque nous générons des clés que l'un de nos utilisateurs peut utiliser à la maison, peuvent-ils utiliser les mêmes clés sur leur ordinateur portable à la maison et sur leur ordinateur de bureau à la maison? Ou devons-nous générer des clés distinctes pour la machine cliente de chaque utilisateur?

Jake Wilson
la source

Réponses:

23

C'est un simple problème de gestion de clé. Techniquement, rien ne vous empêche d’utiliser la même clé à plusieurs endroits. Vous pouvez même les utiliser en même temps. Cependant, l'utilisation de la même clé pour plusieurs systèmes rend la révocation plus pénible. Cela limite également les possibilités de suivi des utilisateurs.

Laisser un utilisateur utiliser la même clé de tous ses systèmes est une configuration commune, et ce que je recommanderais. Si les utilisateurs ont un accès root, il est assez difficile de les empêcher de toute façon de déplacer les clés.

Assurez-vous simplement de ne pas tomber dans le piège consistant à utiliser une clé unique pour tous vos utilisateurs. Cela fait mal quand quelqu'un oublie un ordinateur portable en Chine.

pehrs
la source
64

Vous n'avez pas besoin de plusieurs clés. Toutefois, par défaut, une seule connexion est autorisée avec une clé spécifique. Par exemple, vous pouvez avoir des problèmes si les utilisateurs ne déconnectent pas leur connexion VPN. Il y a un setting ( duplicate-cn) dans le fichier de configuration pour autoriser plusieurs connexions avec un certificat / une clé spécifique.

Dan Andreatta
la source
Je ne savais pas à propos de celui-là. Merci de l'avoir signalé. C'est par défaut dans les paquets que j'utilise. +1
pehrs