为什么在OpenVPN中不推荐`--duplicate-cn`？

是出于安全原因还是出于性能原因？

安全原因。

使用--duplicate-cn，可以允许两个具有相同公用名的连接，因此一个证书可以由多个连接/用户使用。

如果没有--duplicate-cn，则每个vpn证书都必须具有自己的CN，因此每个连接/用户都具有一个唯一的证书。

实际上，这都不是这些原因。如果必须将其作为这两个选项之一，则可能会认为它是安全的。但是，单独使用duplicate-cn不会降低VPN的安全性。我知道有两个原因。首先是有关管理用于在VPN上进行身份验证的凭据的担忧-如果许多客户端使用相同的证书，则撤消该证书也会撤消所有使用该证书的客户端的访问，这可能是不希望的。同样，客户端设备通常会漫游并启动来自一系列公共地址的连接-在这种情况下，尽管存在漫游，但更可能希望该设备在VPN上保留相同的地址，这需要每个客户端证书最多只能有一个连接。

复制cn的有效用例可能是您的客户端设备不漫游，并且您不必在逐个客户端的基础上控制访问，并且更高的优先级是不会花费太多时间来管理密钥和证书。我认为，他们提出建议的依据是这样的事实：这种情况很少，而且大多数人不了解安全性，更不用说基于PKI的安全性了，他们也不想为这类人带来麻烦。

我认为不建议将plicate-cn和client-config-dir一起使用的原因是由于特定用户使用静态IP进行配置，并且它们同时从多个设备连接时会出现这些问题。在这种情况下，事情将无法顺利进行。只要多个连接用户没有client-config-dir静态IP，就不会有问题。