OpenVPN में Open -duplicate-cn` की सिफारिश क्यों नहीं की गई है?

24

क्या यह सुरक्षा कारण, या प्रदर्शन कारण है?

openvpn 
चेंग
स्रोत

जवाबों:

12

सुरक्षा कारण।

--Duplicate-cn के साथ, एक ही सामान्य नाम वाले दो कनेक्शन की अनुमति है, इसलिए एक प्रमाण पत्र का उपयोग एक से अधिक कनेक्शन / उपयोगकर्ताओं द्वारा किया जा सकता है।

बिना --duplicate-cn के बिना, प्रत्येक vpn सर्टिफिकेट में अपना स्वयं का CN होना चाहिए, इसलिए हर कनेक्शन / उपयोगकर्ता के पास एक विशिष्ट प्रमाणपत्र होना चाहिए।

sntg
स्रोत
3
काश मैं इस एक को कम कर सकता ... यह सवाल का जवाब नहीं देता है और केवल आंशिक रूप से दुष्प्रभावों का वर्णन करता है।
रिचर्ड
1
आपने "क्यों" का उत्तर नहीं दिया है।
वॉरवरियुक
45

यह वास्तव में उन कारणों में से नहीं है। यदि यह उन दो विकल्पों में से एक होना था, तो आप तर्क दे सकते हैं कि यह सुरक्षा है। हालांकि, अकेले डुप्लिकेट-सीएन का उपयोग करना आपके वीपीएन को कम सुरक्षित नहीं बनाता है। मुझे पता है कि दो कारण हैं। पहले वीपीएन को प्रमाणित करने के लिए उपयोग किए जाने वाले क्रेडेंशियल्स के प्रबंधन के बारे में एक चिंता है - अगर कई क्लाइंट एक ही प्रमाण पत्र का उपयोग करते हैं, तो उस प्रमाणपत्र को रद्द करने से सभी ग्राहकों के लिए उपयोग को भी रद्द कर दिया जाता है जो इसका उपयोग करते हैं, जो वांछनीय हो सकता है या नहीं। इसके अलावा, क्लाइंट डिवाइस के लिए सार्वजनिक पते की एक सीमा से कनेक्शन घूमने और आरंभ करने के लिए आम है - उन मामलों में यह संभव है कि रोमिंग के बावजूद वीपीएन पर एक ही पते को बनाए रखने के लिए उस डिवाइस के लिए वांछित है, जिसके लिए वहां होना आवश्यक है क्लाइंट सर्टिफिकेट के लिए एक से अधिक कनेक्शन नहीं।

डुप्लिकेट-सीएन के लिए एक वैध उपयोग मामला हो सकता है जहां आपके ग्राहक डिवाइस घूमते नहीं हैं और आप क्लाइंट-बाय-क्लाइंट आधार पर पहुंच को नियंत्रित करने की परवाह नहीं करते हैं और आपकी उच्च प्राथमिकता चाबियों और प्रमाणपत्रों को प्रबंधित करने में बहुत अधिक समय खर्च नहीं कर रही है। मेरा मानना ​​है कि उनकी सिफारिश का आधार यह है कि इस तरह के मामले अल्पसंख्यक हैं और यह भी कि ज्यादातर लोग सुरक्षा को नहीं समझते हैं, पीकेआई-आधारित सुरक्षा बहुत कम है और वे ऐसे लोगों के लिए पानी नहीं निकालना चाहते हैं।

लोहे का तार
स्रोत
5
यह स्वीकृत उत्तर होना चाहिए।
नॉनटाइटिंग
5
डुप्लिकेट- cn का उपयोग करने का कारण यह है कि एक उपयोगकर्ता के पास मोबाइल और लैपटॉप के लिए एक ही प्रमाण पत्र हो सकता है। इसके अलावा unifiy का उस उपयोगकर्ता का प्रबंधन। हालाँकि मुझे नहीं पता कि मुझे चेतावनी क्यों मिलती हैWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
क्रिश्चियन
2

मुझे लगता है कि डुप्लिकेट-cn और क्लाइंट-कॉन्फिगर-डीआर को एक साथ करने की सिफारिश नहीं की जाती है, क्योंकि यह समस्या उन समस्याओं के कारण है जो एक विशिष्ट उपयोगकर्ता के पास स्थिर आईपी के साथ कॉन्फ़िगरेशन है और वे एक ही समय में कई डिवाइस से कनेक्ट होते हैं। उस स्थिति में चीजें अच्छी तरह से काम नहीं कर रही हैं। जब तक मल्टीपल कनेक्शन यूजर्स के पास क्लाइंट-कॉन्फिगर-डीआईआर स्टेटिक आईपी नहीं होता है, तब तक समस्या नहीं होनी चाहिए।

user389695
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.