Kann ich dasselbe Client-Zertifikat in mehreren OpenVPN-Tunneln zum selben Server verwenden?

Kann ich dasselbe Client-Zertifikat in mehreren OpenVPN-Tunneln zum selben Server verwenden?

Ich habe ein einfaches Setup wie dieses:

SERVER ---- INTERNET ---- CLIENT

Auf dem SERVER habe ich bereits OpenVPN mit einem Zertifikat für den CLIENT eingerichtet. Auf dem CLIENT habe ich bereits OpenVPN eingerichtet, um den Server über seinen Schlüssel zu kontaktieren, und das funktioniert einwandfrei.

Jetzt möchte ich eine weitere OpenVPN-Verbindung zwischen SERVER und CLIENT mit anderen Einstellungen einrichten (sagen wir, die erste ist beispielsweise TCP und die andere UDP).

Kann ich in diesem Szenario das Zertifikat/den Schlüssel der ersten Verbindung in der Konfiguration der zweiten wiederverwenden?

Ist das eine gute Vorgehensweise? Warum/Warum nicht? Gibt es irgendwelche Vorbehalte, die man kennen sollte?

Antwort1

Natürlich können Sie es wiederverwenden. Ich würde sagen, es ist besser, wenn Ihr Client dieselbe Maschine/derselbe Benutzer ist. Sie können auch die OpenVPN-Konfigurationsanweisung duplicate-cn verwenden, die den OpenVPN-Daemon anweist, mehrere Clients mit demselben Zertifikat zu akzeptieren.

Nein, das ist keine gute Vorgehensweise:

  • Denn wenn ein Zertifikat kompromittiert wird, kann die Sicherheit an vielen Stellen Ihres Netzwerks verloren gehen.
  • Sie können das CN-Feld im SSL-Zertifikat verwenden, das für jeden Client eindeutig sein muss, um viele nette Dinge in OpenVPN zu tun: beispielsweise CN <-> OpenVPN-IP-Adresszuordnung, CCD-Konfigurationsverzeichnis für jeden Client (unterschiedliche Konfiguration pro Client).

In kleinen Netzwerken oder einigen Konfigurationen kann es jedoch akzeptiert werden.

verwandte Informationen