답변:
실제로 그런 이유는 아닙니다. 두 옵션 중 하나 여야한다면 보안이라고 주장 할 수 있습니다. 그러나 duplicate-cn 만 사용하더라도 VPN의 보안 수준이 떨어집니다. 내가 아는 두 가지 이유가 있습니다. 첫 번째는 VPN에서 인증하는 데 사용되는 자격 증명 관리에 대한 문제입니다. 많은 클라이언트가 동일한 인증서를 사용하는 경우 해당 인증서를 해지하면 인증서를 사용하는 모든 클라이언트에 대한 액세스도 취소되므로 바람직하지 않을 수도 있습니다. 또한 클라이언트 장치가 다양한 공용 주소에서 로밍하고 연결을 시작하는 것이 일반적입니다. 이러한 경우에는 로밍에도 불구하고 해당 장치가 VPN에서 동일한 주소를 유지하는 것이 더 바람직합니다. 클라이언트 인증 서당 하나 이상의 연결.
duplicate-cn의 유효한 사용 사례는 클라이언트 장치가 로밍되지 않고 클라이언트별로 액세스를 제어 할 필요가없고 키와 인증서를 관리하는 데 너무 많은 시간을 소비하지 않는 경우 일 수 있습니다. 나는 그들의 추천의 근거는 그러한 사례가 소수에 있으며 대부분의 사람들이 보안을 이해하지 못하고 PKI 기반 보안을 훨씬 덜 이해하고 그러한 사람들을 위해 물을 진흙탕으로 만들고 싶지 않다는 사실이라고 생각합니다.
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
duplicate-cn과 client-config-dir을 함께 권장하지 않는 이유는 특정 사용자가 고정 IP로 구성하고 여러 장치에서 동시에 연결하는 경우 발생할 수있는 문제 때문입니다. 그런 상황에서는 상황이 잘되지 않을 것입니다. 여러 연결 사용자에게 client-config-dir 고정 IP가없는 한 문제가 없습니다.