У меня простая установка, вот такая:
СЕРВЕР ---- ИНТЕРНЕТ ---- КЛИЕНТ
На СЕРВЕРЕ у меня уже настроен OpenVPN с сертификатом для КЛИЕНТА. На КЛИЕНТЕ у меня уже настроен OpenVPN для связи с сервером с использованием его ключа, и это работает нормально.
Теперь я хотел бы настроить еще одно соединение OpenVPN между СЕРВЕРОМ и КЛИЕНТОМ с другими настройками (например, предположим, что первое соединение — TCP, а второе — UDP).
Могу ли я в этом случае повторно использовать сертификат/ключ из первого подключения в конфигурации второго?
Это хорошая практика? Почему/Почему нет? Есть ли какие-то предостережения, о которых следует знать?
решение1
Конечно, вы можете использовать его повторно. Я бы сказал, что это предпочтительнее, если ваш клиент — это та же машина / пользователь. Вы также можете использовать директиву конфигурации OpenVPN duplicate-cn, которая сообщит демону OpenVPN принимать несколько клиентов с тем же сертификатом.
Нет, это нехорошая практика:
- потому что если один сертификат будет скомпрометирован, вы можете потерять безопасность во многих точках вашей сети,
- Вы можете использовать поле CN в сертификате SSL, которое должно быть уникальным для каждого клиента, чтобы выполнять множество полезных функций в OpenVPN: например, сопоставление CN <-> IP-адреса OpenVPN, каталог конфигурации ccd для каждого клиента (разная конфигурация для каждого клиента).
Однако в небольших сетях или некоторых конфигурациях это может быть приемлемо.