Les clés OpenVPN générées peuvent-elles être utilisées sur plusieurs clients?

Nous expérimentons le fonctionnement d'un serveur OpenVPN pour notre entreprise. Une question dont je ne trouve pas la réponse est la suivante:

Lorsque nous générons des clés pour l'un de nos utilisateurs pour qu'ils utilisent à la maison, utilisent-ils les mêmes clés sur leur ordinateur portable domestique que leur bureau domestique? Ou devons-nous générer des clés distinctes pour la machine client de chaque utilisateur?

C'est un problème de gestion de clé simple. Il n'y a rien techniquement qui vous empêche d'utiliser la même clé à partir de plusieurs emplacements. Vous pouvez même les utiliser en même temps. Cependant, l'utilisation de la même clé pour plusieurs systèmes rend une révocation plus pénible. Cela limite également le suivi des utilisateurs que vous pouvez faire.

Permettre à un utilisateur d'utiliser la même clé de tous ses systèmes est une configuration commune, et ce que je recommanderais. Si les utilisateurs ont un accès root, il est très difficile de les empêcher de déplacer les clés de toute façon.

Assurez-vous simplement de ne pas tomber dans le piège d'utiliser une seule clé pour tous vos utilisateurs. Cela fait mal lorsque quelqu'un oublie un ordinateur portable en Chine.

Vous n'avez pas besoin d'avoir plusieurs clés, cependant, par défaut, ne permettra qu'une connexion avec une clé spécifique, c'est-à-dire que vous risquez d'avoir des problèmes si les utilisateurs ne déconnectent pas leur connexion VPN. Il existe un paramètre ( duplicate-cn ) dans le fichier de configuration pour permettre plusieurs connexions avec un certificat / clé spécifique.