これはセキュリティ上の理由ですか、それともパフォーマンス上の理由ですか?
答え1
セキュリティ上の理由。
--duplicate-cn を使用すると、同じ共通名を持つ 2 つの接続が許可されるため、1 つの証明書を複数の接続/ユーザーで使用できます。
--duplicate-cn がない場合、すべての VPN 証明書には独自の CN が必要となり、すべての接続/ユーザーには 1 つの一意の証明書が存在します。
答え2
実際には、どちらの理由でもありませんでした。これら 2 つのオプションのいずれかにしなければならないとしたら、セキュリティの問題だと主張するかもしれません。ただし、duplicate-cn のみを使用しても、VPN のセキュリティが低下することはありません。私が知っている理由は 2 つあります。1 つ目は、VPN での認証に使用される資格情報の管理に関する懸念です。多くのクライアントが同じ証明書を使用している場合、その証明書を取り消すと、それを使用するすべてのクライアントのアクセスも取り消されます。これは望ましい場合と望ましくない場合があります。また、クライアント デバイスがローミングして、さまざまなパブリック アドレスから接続を開始することはよくあります。このような場合、ローミングにもかかわらず、そのデバイスが VPN 上で同じアドレスを保持することが望ましい可能性が高く、クライアント証明書ごとに 1 つの接続しか存在しないことが求められます。
duplicate-cn の有効な使用例は、クライアント デバイスがローミングせず、クライアントごとにアクセスを制御する必要がなく、キーと証明書の管理に時間をかけすぎないことを優先する場合です。推奨の根拠は、このようなケースは少数派であり、ほとんどの人がセキュリティを理解しておらず、PKI ベースのセキュリティはなおさらであるため、そのような人々にとって混乱を招きたくないという点にあると私は考えています。
答え3
duplicate-cn と client-config-dir を一緒に使用することが推奨されない理由は、特定のユーザーが静的 IP の構成を持ち、同時に複数のデバイスから接続した場合に問題が発生するためだと思います。その状況ではうまく機能しません。複数の接続ユーザーが client-config-dir 静的 IP を持たない限り、問題は発生しないはずです。