¿Es por razones de seguridad o de rendimiento?
24
Razones de seguridad.
Con --duplicate-cn, se permiten dos conexiones con el mismo nombre común, por lo que un certificado puede ser utilizado por más de una conexión / usuarios.
Sin --duplicate-cn, cada certificado vpn debe tener su propio CN, por lo que cada conexión / usuario tiene un certificado único.
En realidad no es ninguna de esas razones. Si tuviera que ser una de esas dos opciones, podría argumentar que es seguridad. Sin embargo, el uso de duplicate-cn solo no hace que su VPN sea menos segura. Hay dos razones que sé. La primera es la preocupación sobre la administración de las credenciales utilizadas para autenticar en la VPN: si muchos clientes usan el mismo certificado, revocar ese certificado también revoca el acceso para todos los clientes que lo usan, lo que puede o no ser conveniente. Además, es común que un dispositivo cliente deambule e inicie conexiones desde un rango de direcciones públicas; en esos casos, es más probable que ese dispositivo retenga la misma dirección en la VPN a pesar del roaming, lo que requiere que haya no más de una conexión por certificado de cliente.
Un caso de uso válido para duplicate-cn podría ser donde los dispositivos de su cliente no se desplazan y no le importa controlar el acceso cliente por cliente y su mayor prioridad es no pasar demasiado tiempo administrando claves y certificados. Creo que la base de su recomendación es el hecho de que tales casos son minoritarios y también que la mayoría de las personas no entienden la seguridad, mucho menos la seguridad basada en PKI y no quieren enturbiar las aguas para esas personas.
fuente
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Creo que la razón por la que no se recomiendan duplicate-cn y client-config-dir juntos se debe a los problemas que surgirían si un usuario específico tiene una configuración con una IP estática y se conectan desde múltiples dispositivos al mismo tiempo. Las cosas no van a funcionar bien en esa situación. Mientras los usuarios de conexiones múltiples no tengan IP estáticas de directorio de configuración de cliente, no debería haber ningún problema.
fuente