我有一個像這樣的簡單設定:
伺服器 ---- 網際網路 ---- 用戶端
在伺服器上,我已經為客戶端設定了 OpenVPN 和憑證。在 CLIENT 上,我已經設定了 OpenVPN,可以使用其金鑰聯繫伺服器,並且工作正常。
現在我想在伺服器和客戶端之間使用不同的設定建立另一個 OpenVPN 連線(例如,第一個是 TCP,另一個是 UDP)。
在這種情況下,我可以在第二個連接的配置中重複使用第一個連接中的憑證/金鑰嗎?
這是一個好的做法嗎?為什麼/為什麼不?有什麼注意事項需要了解嗎?
答案1
確保您可以重複使用它。我想說,如果您的客戶端是同一台機器/用戶,這是首選。您也可以使用OpenVPN設定指令duplicate-cn,這將告訴OpenVPN守護程式接受具有相同憑證的多個用戶端。
不,這不是一個好的做法:
- 因為如果一個憑證被洩露,您可能會在網路的許多點失去安全性,
- 您可以在SSL 憑證中使用CN 字段,該字段對於每個客戶端來說都是唯一的,以便在OpenVPN 中做許多好事:例如CN <-> OpenVPN IP 位址關聯、每個客戶端的ccd 配置目錄(每個客戶端的配置不同)。
但它可能在小型網路或某些配置中被接受。