Warum wird --duplicate-cn in OpenVPN nicht empfohlen?

24

Ist dies aus Sicherheitsgründen oder aus Leistungsgründen?

Cheng
quelle

Antworten:

12

Sicherheitsgrund.

Mit --duplicate-cn sind zwei Verbindungen mit demselben allgemeinen Namen zulässig, sodass ein Zertifikat von mehr als einer Verbindung / mehreren Benutzern verwendet werden kann.

Ohne --duplicate-cn muss jedes VPN-Zertifikat über einen eigenen CN verfügen, sodass jede Verbindung / jeder Benutzer über ein eindeutiges Zertifikat verfügt.

sntg
quelle
3
Ich wünschte, ich könnte dieses hier ablehnen ... es beantwortet die Frage nicht und beschreibt die Nebenwirkungen nur teilweise.
Richard
1
Sie haben nicht "warum" geantwortet.
Warvariuc
45

Es ist eigentlich keiner dieser Gründe. Wenn es eine dieser beiden Optionen sein müsste, könnten Sie argumentieren, dass es Sicherheit ist. Die Verwendung von duplicate-cn allein macht Ihr VPN jedoch nicht weniger sicher. Ich kenne zwei Gründe. Das erste Problem betrifft die Verwaltung der Anmeldeinformationen, die zur Authentifizierung im VPN verwendet werden. Wenn viele Clients dasselbe Zertifikat verwenden, wird durch das Sperren dieses Zertifikats auch der Zugriff für alle Clients gesperrt, die es verwenden. Dies ist möglicherweise wünschenswert oder nicht. Außerdem ist es üblich, dass ein Client-Gerät Verbindungen von einer Reihe öffentlicher Adressen aus durchstreift und initiiert. In diesen Fällen ist es wahrscheinlicher, dass dieses Gerät trotz des erforderlichen Roamings dieselbe Adresse im VPN beibehält Nicht mehr als eine Verbindung pro Client-Zertifikat.

Ein gültiger Anwendungsfall für duplicate-cn ist möglicherweise, wenn Ihre Clientgeräte nicht über das Netzwerk wechseln und Sie den Zugriff nicht Client für Client steuern möchten und Ihre höhere Priorität nicht zu viel Zeit für die Verwaltung von Schlüsseln und Zertifikaten benötigt. Ich glaube, die Grundlage ihrer Empfehlung ist die Tatsache, dass solche Fälle in der Minderheit sind und dass die meisten Menschen Sicherheit nicht verstehen, geschweige denn auf PKI basierende Sicherheit, und dass sie die Gewässer für solche Menschen nicht trüben wollen.

Eisenerlöser
quelle
5
Dies sollte die akzeptierte Antwort sein.
Nichtsein
5
Der Grund, warum wir duplicate-cn verwenden, ist, dass ein Benutzer das gleiche Zertifikat für Mobilgeräte und Laptops haben kann. Auch die Verwaltung dieses Benutzers durch Unifiy. Obwohl ich nicht weiß, warum ich die Warnung bekommeWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Ich denke, der Grund, warum duplicate-cn und client-config-dir nicht zusammen empfohlen werden, ist auf die Probleme zurückzuführen, die auftreten würden, wenn ein bestimmter Benutzer eine Konfiguration mit einer statischen IP hat und eine Verbindung von mehreren Geräten gleichzeitig herstellt. In dieser Situation wird es nicht gut laufen. Solange die Benutzer mit mehreren Verbindungen keine statischen IP-Adressen für das Client-Konfigurationsverzeichnis haben, sollte es kein Problem geben.

user389695
quelle