보안상의 이유인가요, 아니면 성능상의 이유인가요?
답변1
보안 이유.
--duplicate-cn을 사용하면 동일한 일반 이름을 가진 두 개의 연결이 허용되므로 둘 이상의 연결/사용자가 하나의 인증서를 사용할 수 있습니다.
--duplicate-cn이 없으면 모든 VPN 인증서에는 자체 CN이 있어야 하므로 모든 연결/사용자는 하나의 고유 인증서를 갖게 됩니다.
답변2
실제로는 그런 이유가 아닙니다. 두 가지 옵션 중 하나여야 한다면 보안 때문이라고 주장할 수도 있습니다. 그러나 Duplicate-Cn만 사용한다고 해서 VPN의 보안이 떨어지는 것은 아닙니다. 제가 아는 이유는 두 가지입니다. 첫 번째는 VPN에서 인증하는 데 사용되는 자격 증명 관리에 대한 우려입니다. 많은 클라이언트가 동일한 인증서를 사용하는 경우 해당 인증서를 취소하면 이를 사용하는 모든 클라이언트에 대한 액세스도 취소되므로 바람직할 수도 있고 그렇지 않을 수도 있습니다. 또한 클라이언트 장치가 다양한 공개 주소에서 로밍하고 연결을 시작하는 것이 일반적입니다. 이 경우 해당 장치는 로밍에도 불구하고 VPN에서 동일한 주소를 유지하는 것이 더 바람직합니다. 클라이언트 인증서당 연결이 하나만 가능합니다.
Duplicate-cn의 유효한 사용 사례는 클라이언트 장치가 로밍되지 않고 클라이언트별로 액세스를 제어할 필요가 없으며 키와 인증서를 관리하는 데 너무 많은 시간을 소비하지 않는 것이 더 높은 우선순위일 수 있습니다. 나는 그들의 권고의 기초가 그러한 경우가 소수이고 또한 대부분의 사람들이 보안을 이해하지 못하고 PKI 기반 보안을 이해하지 못하며 그러한 사람들을 위해 물을 혼란스럽게 만들고 싶지 않다는 사실이라고 믿습니다.
답변3
Duplicate-cn과 client-config-dir을 함께 사용하지 않는 것이 권장되지 않는 이유는 특정 사용자가 고정 IP로 구성되어 있고 동시에 여러 장치에서 연결할 경우 발생할 수 있는 문제 때문이라고 생각합니다. 그런 상황에서는 일이 잘 안 될 거예요. 여러 연결 사용자에게 client-config-dir 고정 IP가 없는 한 문제가 발생하지 않습니다.