다음과 같은 간단한 설정이 있습니다.
서버 ---- 인터넷 ---- 클라이언트
SERVER에는 이미 CLIENT용 인증서로 OpenVPN이 설정되어 있습니다. CLIENT에서는 해당 키를 사용하여 서버에 연결하도록 OpenVPN을 이미 설정했는데 제대로 작동하고 있습니다.
이제 다른 설정으로 SERVER와 CLIENT 사이에 또 다른 OpenVPN 연결을 설정하고 싶습니다(예를 들어 첫 번째는 TCP이고 다른 하나는 UDP라고 가정해 보겠습니다).
이 시나리오에서는 두 번째 구성에서 첫 번째 연결의 인증서/키를 재사용할 수 있습니까?
이것이 좋은 습관입니까? 왜 안돼? 알아야 할 주의 사항이 있나요?
답변1
물론 재사용할 수도 있습니다. 귀하의 클라이언트가 동일한 컴퓨터/사용자라면 선호된다고 말하고 싶습니다. OpenVPN 구성 지시문 Duplicate-cn을 사용할 수도 있습니다. 이는 OpenVPN 데몬이 동일한 인증서를 사용하는 여러 클라이언트를 수락하도록 지시합니다.
아니요, 이는 좋은 습관이 아닙니다.
- 왜냐하면 하나의 인증서가 손상되면 네트워크의 여러 지점에서 보안이 상실될 수 있기 때문입니다.
- OpenVPN에서 많은 유용한 작업을 수행하려면 모든 클라이언트에 대해 고유해야 하는 SSL 인증서의 CN 필드를 사용할 수 있습니다. 예를 들어 CN <-> OpenVPN IP 주소 연결, 각 클라이언트에 대한 ccd 구성 디렉터리(클라이언트마다 다른 구성).
그러나 소규모 네트워크나 일부 구성에서는 허용될 수 있습니다.