Frage Warum wird `--duplicate-cn` in OpenVPN nicht empfohlen?


Ist dies aus Sicherheitsgründen oder Leistungsgründen?


20
2018-01-19 13:53


Ursprung




Antworten:


Sicherheitsgrund.

Mit --duplicate-cn sind zwei Verbindungen mit demselben allgemeinen Namen zulässig, sodass ein Zertifikat von mehreren Verbindungen / Benutzern verwendet werden kann.

Ohne --duplicate-cn muss jedes vpn-cert ein eigenes CN haben, so dass jede Verbindung / jeder Benutzer ein eindeutiges cert hat.


7
2018-01-19 14:30



Ich wünschte, ich könnte diesen runterschrauben ... es beantwortet die Frage nicht und beschreibt nur teilweise die Nebenwirkungen. - Richard
Sie haben nicht geantwortet "warum". - warvariuc


Es ist eigentlich keiner dieser Gründe. Wenn es sich um eine dieser beiden Optionen handeln müsste, könnten Sie argumentieren, dass es sich um Sicherheit handelt. Die Verwendung von duplicate-cn alleine macht Ihr VPN jedoch nicht weniger sicher. Es gibt zwei Gründe, die ich kenne. Die erste betrifft die Verwaltung der Anmeldeinformationen, die für die Authentifizierung im VPN verwendet werden. Wenn viele Clients dasselbe Zertifikat verwenden, widerruft das Widerrufen dieses Zertifikats auch den Zugriff für alle Clients, die das Zertifikat verwenden. Dies kann wünschenswert sein oder auch nicht. Es ist auch üblich, dass ein Client-Gerät roamt und Verbindungen aus einem Bereich von öffentlichen Adressen einleitet - in diesen Fällen ist es wahrscheinlicher, dass dieses Gerät die gleiche Adresse auf dem VPN trotz des Roamings behält, was erforderlich ist nicht mehr als eine Verbindung pro Clientzertifikat

Ein gültiger Anwendungsfall für duplicate-cn könnte sein, dass Ihre Client-Geräte nicht roamen und Sie den Zugriff nicht für jeden einzelnen Client steuern möchten und Ihre höhere Priorität nicht zu viel Zeit für die Verwaltung von Schlüsseln und Zertifikaten beansprucht. Ich glaube, die Grundlage ihrer Empfehlung ist die Tatsache, dass solche Fälle in der Minderheit sind und auch, dass die meisten Menschen Sicherheit nicht verstehen, geschweige denn PKI-basierte Sicherheit, und sie wollen die Gewässer für solche Menschen nicht verschmutzen.


37
2017-09-19 21:14



Dies sollte die akzeptierte Antwort sein. - nonbeing
Der Grund, warum wir duplicate-cn verwenden, ist, dass ein Benutzer das gleiche Zertifikat für Mobilgeräte und Laptops haben kann. Auch die Verwaltung dieses Benutzers. Obwohl ich nicht weiß, warum ich die Warnung bekomme WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want - Christian


Ich denke, der Grund, dass duplicate-cn und client-config-dir zusammen nicht empfohlen werden, liegt an den Problemen, die entstehen würden, wenn ein bestimmter Benutzer eine Konfiguration mit einer statischen IP hat und sich gleichzeitig von mehreren Geräten aus verbindet. Die Dinge werden in dieser Situation nicht gut funktionieren. Solange die Benutzer mit mehreren Verbindungen keine statischen IP-Adressen von client-config-dir haben, sollte dies kein Problem darstellen.


0
2017-12-15 16:09