Isso é por motivo de segurança ou desempenho?
24
Razão de segurança.
Com --duplicate-cn, são permitidas duas conexões com o mesmo nome comum, para que um certificado possa ser usado por mais de uma conexão / usuários.
Sem --duplicate-cn, todo certificado VPN deve ter seu próprio CN, para que cada conexão / usuário tenha um certificado único.
Na verdade, não é nenhuma dessas razões. Se tivesse que ser uma dessas duas opções, você pode argumentar que é segurança. No entanto, o uso de duplicate-cn sozinho não torna sua VPN menos segura. Existem duas razões que eu conheço. A primeira é uma preocupação sobre o gerenciamento das credenciais usadas para autenticação na VPN - se muitos clientes usam o mesmo certificado, a revogação desse certificado também revoga o acesso a todos os clientes que o usam, o que pode ou não ser desejável. Além disso, é comum que um dispositivo cliente faça roaming e inicie conexões a partir de um intervalo de endereços públicos - nesses casos, é mais provável que o dispositivo mantenha o mesmo endereço na VPN, apesar do roaming, o que exige que haja não mais de uma conexão por certificado de cliente.
Um caso de uso válido para duplicate-cn pode ser o local em que seus dispositivos clientes não circulam e você não deseja controlar o acesso cliente a cliente, e sua maior prioridade é não gastar muito tempo gerenciando chaves e certificados. Acredito que a base de sua recomendação é o fato de que esses casos são minoritários e também que a maioria das pessoas não entende de segurança, muito menos a segurança baseada em PKI e elas não querem turvar as águas para essas pessoas.
fonte
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Eu acho que o motivo pelo qual duplicate-cn e client-config-dir juntos não são recomendados é devido aos problemas que surgiriam se um usuário específico tivesse uma configuração com um IP estático e eles se conectassem a partir de vários dispositivos ao mesmo tempo. As coisas não vão funcionar bem nessa situação. Desde que os vários usuários da conexão não possuam IPs estáticos client-config-dir, não deverá haver um problema.
fonte