Czy wygenerowanych kluczy OpenVPN można używać na wielu klientach?

32

Eksperymentujemy z uruchomieniem serwera OpenVPN dla naszej firmy. Jedno pytanie, na które nie mogę znaleźć odpowiedzi, brzmi:

Kiedy generujemy klucze dla jednego z naszych użytkowników, aby mogli z nich korzystać w domu, czy mogą oni używać tych samych kluczy na swoim laptopie domowym, jak i na komputerze stacjonarnym? Czy też musimy generować osobne klucze dla komputera klienckiego każdego użytkownika?

Jake Wilson
źródło
Zobacz serverfault.com/questions/121142/…
Ten Brazylijczyk

Odpowiedzi:

23

To prosty problem z zarządzaniem kluczami. Nic technicznie nie stoi na przeszkodzie, abyś używał tego samego klucza z kilku lokalizacji. Możesz nawet z nich korzystać w tym samym czasie. Jednak użycie tego samego klucza dla wielu systemów powoduje, że odwołanie jest bardziej bolesne. Ogranicza także możliwości śledzenia użytkownika.

Pozwolenie użytkownikowi na użycie tego samego klucza ze wszystkich jego systemów jest powszechną konfiguracją i to poleciłbym. Jeśli użytkownicy mają dostęp do konta root, trudno jest im mimo to przenieść klucze.

Tylko upewnij się, że nie wpadniesz w pułapkę używania jednego klucza dla wszystkich użytkowników. To boli, gdy ktoś zapomina laptopa w Chinach.

pehrs
źródło
64

Nie musisz mieć wielu kluczy, jednak domyślnie zezwala tylko na jedno połączenie z określonym kluczem, tzn. Możesz mieć problemy, jeśli użytkownicy nie rozłączą swojego połączenia VPN. W duplicate-cnpliku konfiguracyjnym znajduje się ustawienie ( ) umożliwiające wiele połączeń z określonym certyfikatem / kluczem.

Dan Andreatta
źródło
Nie wiedziałem o tym. Dzięki za zwrócenie na to uwagi. Jest to domyślne w pakietach, których używam. +1
pehrs