Tengo una configuración simple como esta:
SERVIDOR ---- INTERNET ---- CLIENTE
En SERVIDOR ya tengo OpenVPN configurado con un certificado para CLIENTE. En CLIENTE ya tengo OpenVPN configurado para contactar al servidor usando su clave y esto está funcionando bien.
Ahora me gustaría configurar otra conexión OpenVPN entre el SERVIDOR y el CLIENTE con diferentes configuraciones (digamos que la primera es TCP y la otra es UDP, por ejemplo).
En este escenario, ¿puedo reutilizar el certificado/clave de la primera conexión en la configuración de la segunda?
¿Es esta una buena practica? ¿Por qué por qué no? ¿Alguna advertencia que deba conocer?
Respuesta1
Seguro que puedes reutilizarlo. Yo diría que es preferible si su cliente es la misma máquina/usuario. También puede usar la directiva de configuración OpenVPN duplicada-cn, que le indicará al demonio OpenVPN que acepte múltiples clientes con el mismo certificado.
No, no es una buena práctica:
- porque si un certificado se compromete puedes perder la seguridad en muchos puntos de tu red,
- puede usar el campo CN en el certificado SSL, que debe ser único para cada cliente para hacer muchas cosas interesantes en OpenVPN: por ejemplo CN <-> asociación de dirección IP de OpenVPN, directorio de configuración ccd para cada cliente (configuración diferente por cliente).
Pero puede aceptarse en redes pequeñas o en algunas configuraciones.