Les clés OpenVPN générées peuvent-elles être utilisées sur plusieurs clients?
Nous expérimentons la gestion d'un serveur OpenVPN pour notre entreprise. Une question à laquelle je n'arrive pas à trouver la réponse est la suivante:
Lorsque nous générons des clés pour l'un de nos utilisateurs pour qu'ils les utilisent à la maison, peuvent-ils utiliser les mêmes clés sur leur ordinateur portable à la maison ainsi que sur leur bureau à domicile? Ou devons-nous générer des clés distinctes pour la machine cliente de chaque utilisateur?
C'est un simple problème de gestion des clés. Rien techniquement ne vous empêche d'utiliser la même clé depuis plusieurs emplacements. Vous pouvez même les utiliser en même temps. Cependant, l'utilisation de la même clé pour plusieurs systèmes rend une révocation plus douloureuse. Cela limite également le suivi des utilisateurs que vous pouvez faire.
Laisser un utilisateur utiliser la même clé de tous ses systèmes est une configuration courante, et ce que je recommanderais. Si les utilisateurs ont un accès root, il est assez difficile de les empêcher de déplacer les clés de toute façon.
Assurez-vous simplement de ne pas tomber dans le piège d'utiliser une seule clé pour tous vos utilisateurs. Cela fait mal quand quelqu'un oublie un ordinateur portable en Chine.
Vous n'avez pas besoin d'avoir plusieurs clés, cependant, par défaut, vous n'autorisez qu'une seule connexion avec une clé spécifique, c'est-à-dire que vous pouvez avoir des problèmes si les utilisateurs ne déconnectent pas leur connexion VPN. Il existe un paramètre (duplicate-cn) dans le fichier de configuration pour autoriser plusieurs connexions avec un certificat/clé spécifique.