Posso usar o mesmo certificado de cliente em vários túneis OpenVPN para o mesmo servidor? [duplicado]

1

Eu tenho uma configuração simples como esta:

SERVIDOR ---- INTERNET ---- CLIENTE

No SERVER eu já tenho o OpenVPN configurado com um sertificate para CLIENT. No CLIENTE, eu já tenho o OpenVPN configurado para contatar o servidor usando sua chave e isso está funcionando bem.

Agora eu gostaria de configurar outra conexão OpenVPN entre SERVER e CLIENT com configurações diferentes (digamos que a primeira é TCP e a outra é UDP, por exemplo).

Neste cenário, posso reutilizar o certificado / chave da primeira conexão na configuração do segundo?

Esta é uma boa prática? Porque porque não? Alguma advertência para saber?

    
por Lennart Rolland 16.05.2015 / 12:53

1 resposta

1

Claro que você pode reutilizá-lo. Eu diria que é preferível que o seu cliente seja a mesma máquina / usuário. Você também pode usar a diretiva de configuração do OpenVPN duplicate-cn, que informará ao daemon do OpenVPN para aceitar vários clientes com o mesmo certificado.

Não, não é uma boa prática:

  • porque se um certificado comprometer você poderá perder a segurança em muitos pontos da sua rede,
  • você pode usar o campo CN no certificado SSL, que precisa ser exclusivo para cada cliente para fazer muitas coisas interessantes no OpenVPN: por exemplo, CN < - > Associação de endereço IP do OpenVPN, dir de configuração do ccd para cada cliente (configuração diferente por cliente).

Mas isso pode ser aceito em pequenas redes ou em algumas configurações.

    
por 17.05.2015 / 01:59