Können generierte OpenVPN-Schlüssel auf mehreren Clients verwendet werden?

32

Wir experimentieren mit dem Betrieb eines OpenVPN-Servers für unser Unternehmen. Eine Frage, auf die ich anscheinend keine Antwort finden kann, ist folgende:

Wenn wir Schlüssel für einen unserer Benutzer zur Verwendung zu Hause generieren, können diese dieselben Schlüssel auch auf ihrem Heim-Laptop und auf ihrem Heim-Desktop verwenden? Oder müssen wir separate Schlüssel für den Client-Computer jedes Benutzers generieren?

Jake Wilson
quelle
Siehe serverfault.com/questions/121142/…
Der Brasilianer

Antworten:

23

Es ist ein einfaches Schlüsselverwaltungsproblem. Es gibt technisch nichts, was Sie davon abhält, denselben Schlüssel an mehreren Orten zu verwenden. Sie können sie sogar gleichzeitig verwenden. Die Verwendung desselben Schlüssels für mehrere Systeme macht einen Widerruf jedoch schmerzhafter. Es begrenzt auch, welche Benutzerverfolgung Sie durchführen können.

Es ist üblich, einen Benutzer auf allen Systemen denselben Schlüssel verwenden zu lassen, und ich würde dies empfehlen. Wenn die Benutzer Root-Zugriff haben, ist es ziemlich schwierig, sie davon abzuhalten, die Schlüssel zu verschieben.

Stellen Sie nur sicher, dass Sie nicht in die Falle gehen, einen einzigen Schlüssel für alle Ihre Benutzer zu verwenden. Das tut weh, wenn jemand in China einen Laptop vergisst.

pehrs
quelle
64

Sie müssen nicht über mehrere Schlüssel verfügen. Standardmäßig ist jedoch nur eine Verbindung mit einem bestimmten Schlüssel zulässig. Dies kann zu Problemen führen, wenn Benutzer ihre VPN-Verbindung nicht trennen. duplicate-cnIn der Konfigurationsdatei gibt es eine Einstellung ( ), um mehrere Verbindungen mit einem bestimmten Zertifikat / Schlüssel zuzulassen.

Dan Andreatta
quelle
Wusste nichts davon. Vielen Dank für den Hinweis. Es ist Standard in den Paketen, die ich benutze. +1
pehrs