這是出於安全原因還是性能原因?
答案1
安全原因。
使用--duplicate-cn,允許兩個具有相同公用名的連接,因此一個憑證可以由多個連接/使用者使用。
如果沒有 --duplicate-cn,每個 VPN 憑證都必須有自己的 CN,因此每個連線/使用者都有一個唯一的憑證。
答案2
其實這都不是原因。如果它必須是這兩個選項之一,您可能會認為它是安全的。然而,單獨使用duplicate-cn 並不會讓您的VPN 安全性降低。我知道的原因有二。第一個是管理用於在VPN 上進行身份驗證的憑證的問題- 如果許多用戶端使用相同的證書,則撤銷該證書也會撤銷所有使用該證書的用戶端的存取權限,這可能是理想的,也可能是不理想的。此外,用戶端裝置通常會漫遊並從一系列公共位址啟動連線 - 在這些情況下,更可能需要該裝置在漫遊時在 VPN 上保留相同的位址,這需要每個用戶端憑證不超過一個連線。
重複 cn 的一個有效用例可能是您的客戶端設備不漫遊,並且您不關心逐個客戶端地控制訪問,並且您的更高優先級不是花費太多時間管理密鑰和證書。我相信他們的建議的基礎是這樣的事實:這種情況只是少數,而且大多數人不了解安全性,更不用說基於 PKI 的安全性了,他們不想為這些人攪渾水。
答案3
我認為不建議將duplicate-cn 和client-config-dir 一起使用的原因是,如果特定用戶具有靜態IP 配置並且他們同時從多個設備進行連接,則會出現問題。在這種情況下事情不會順利進行。只要多個連線使用者沒有 client-config-dir 靜態 IP,就不會有問題。