这是出于安全原因还是性能原因?
安全原因。
使用–duplicate-cn,允许两个具有相同通用名称的连接,因此一个证书可以被多个连接/用户使用。
没有–duplicate-cn,每个vpn证书都必须有自己的CN,所以每个连接/用户都有一个唯一的证书。
这其实并不是这些原因。 如果必须是这两个选项之一,那么你可能会认为这是安全的。 但是,单独使用duplicate-cn并不会使您的VPN更安全。 我知道有两个原因。 第一个问题是pipe理用于在VPN上进行身份validation的凭据 – 如果许多客户端使用相同的证书,那么撤消该证书也会取消所有使用该证书的客户端的访问权限,这可能并不合意。 而且,客户端设备漫游并发起来自一系列公共地址的连接是常见的 – 在这种情况下,尽pipe漫游,该设备更希望在VPN上保留相同的地址,这要求存在每个客户端证书不超过一个连接。
duplicate-cn的有效用例可能是您的客户端设备不漫游的地方,而您并不关心以逐个客户端的方式来控制访问,您的更高优先级不会花费太多的时间来pipe理密钥和证书。 我相信他们的build议的基础是这样的事实,即less数情况下,大多数人不了解安全,更不用说基于PKI的安全,他们不想为这样的人泥泞。
我认为不build议将duplicate-cn和client-config-dir放在一起的原因是由于特定用户具有静态IP的configuration并且它们同时从多个设备连接时会出现的问题。 在这种情况下,事情不会奏效。 只要多个连接用户没有client-config-dir静态IP地址,就不会有问题。