นี่คือเหตุผลด้านความปลอดภัยหรือเหตุผลด้านประสิทธิภาพหรือไม่
นี่คือเหตุผลด้านความปลอดภัยหรือเหตุผลด้านประสิทธิภาพหรือไม่
คำตอบ:
เหตุผลด้านความปลอดภัย
ด้วย --duplicate-cn อนุญาตให้มีการเชื่อมต่อสองครั้งที่มีชื่อสามัญเหมือนกันดังนั้นผู้ใช้มากกว่าหนึ่งรายสามารถใช้หนังสือรับรองหนึ่งรายการ
หากไม่มี - ซ้ำกัน -CN ใบรับรอง vpn ทุกตัวจะต้องมี CN ของตัวเองดังนั้นทุกการเชื่อมต่อ / ผู้ใช้จะมีใบรับรองที่ไม่ซ้ำกันหนึ่งรายการ
จริงๆแล้วมันไม่ใช่เหตุผลเหล่านั้น หากต้องเป็นหนึ่งในสองตัวเลือกคุณอาจยืนยันว่ามันปลอดภัย อย่างไรก็ตามการใช้งานซ้ำกันเพียงอย่างเดียวไม่ได้ทำให้ VPN ของคุณปลอดภัยน้อยลง มีสองเหตุผลที่ฉันรู้ ข้อแรกคือข้อกังวลเกี่ยวกับการจัดการข้อมูลประจำตัวที่ใช้ในการรับรองความถูกต้องบน VPN - หากลูกค้าจำนวนมากใช้ใบรับรองเดียวกันจากนั้นเพิกถอนใบรับรองนั้นจะยกเลิกการเข้าถึงสำหรับลูกค้าทั้งหมดที่ใช้งานซึ่งอาจเป็นที่ต้องการหรือไม่ต้องการ นอกจากนี้ยังเป็นเรื่องปกติที่อุปกรณ์ไคลเอนต์จะท่องเว็บและเริ่มต้นการเชื่อมต่อจากช่วงของที่อยู่สาธารณะ - ในกรณีเหล่านั้นมีความเป็นไปได้สูงที่อุปกรณ์นั้นจะต้องการรักษาที่อยู่เดิมไว้บน VPN แม้จะมีการโรมมิ่ง ไม่เกินหนึ่งการเชื่อมต่อต่อใบรับรองลูกค้า
กรณีการใช้งานที่ถูกต้องสำหรับชุดสำเนาซ้ำอาจเป็นที่ที่อุปกรณ์ไคลเอ็นต์ของคุณไม่ได้ใช้งานและคุณไม่สนใจที่จะควบคุมการเข้าถึงแบบไคลเอ็นต์ต่อไคลเอ็นต์และลำดับความสำคัญสูงกว่าของคุณไม่ใช้เวลาในการจัดการคีย์และใบรับรองมากเกินไป ฉันเชื่อว่าพื้นฐานของข้อเสนอแนะของพวกเขาคือข้อเท็จจริงที่ว่ากรณีดังกล่าวเป็นของชนกลุ่มน้อยและคนส่วนใหญ่ไม่เข้าใจเรื่องความปลอดภัยความปลอดภัยบนพื้นฐานของ PKI น้อยกว่ามากและพวกเขาไม่ต้องการโคลนน้ำสำหรับคนเช่นนี้
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
ฉันคิดว่าเหตุผลที่ไม่แนะนำให้ทำสำเนา -cn และ client-config-dir ร่วมกันเกิดจากปัญหาที่จะเกิดขึ้นหากผู้ใช้เฉพาะมีการกำหนดค่าด้วย IP แบบคงที่และพวกเขาเชื่อมต่อจากอุปกรณ์หลายเครื่องในเวลาเดียวกัน สิ่งต่าง ๆ จะไม่ทำงานได้ดีในสถานการณ์นั้น ตราบใดที่ผู้ใช้การเชื่อมต่อหลายคนไม่มี IP-client-config-dir คงที่ก็ไม่น่าจะมีปัญหา