Eu tenho uma configuração simples como esta:
SERVIDOR ---- INTERNET ---- CLIENTE
No SERVER já tenho o OpenVPN configurado com um sertificado para CLIENT. No CLIENT já tenho o OpenVPN configurado para entrar em contato com o servidor usando sua chave e está funcionando bem.
Agora eu gostaria de configurar outra conexão OpenVPN entre SERVER e CLIENT com configurações diferentes (digamos que a primeira seja TCP e a outra seja UDP, por exemplo).
Neste cenário, posso reutilizar o certificado/chave da primeira conexão na configuração da segunda?
Esta é uma boa prática? Porque porque não? Alguma advertência para saber?
Responder1
Claro que você pode reutilizá-lo. Eu diria que é preferível que o seu cliente seja a mesma máquina/usuário. Você também pode usar a diretiva de configuração Duplicate-cn do OpenVPN, que instruirá o daemon do OpenVPN a aceitar vários clientes com o mesmo certificado.
Não, não é uma boa prática:
- porque se um certificado for comprometido você poderá perder a segurança em muitos pontos da sua rede,
- você pode usar o campo CN no certificado SSL, que precisa ser exclusivo para cada cliente para fazer muitas coisas interessantes no OpenVPN: por exemplo CN <-> associação de endereço IP OpenVPN, diretório de configuração ccd para cada cliente (configuração diferente por cliente).
Mas pode ser aceito em redes pequenas ou em algumas configurações.