Это из соображений безопасности или из соображений производительности?
На самом деле это ни одна из этих причин. Если бы это был один из этих двух вариантов, вы могли бы возразить, что это безопасность. Однако использование только duplicate-cn не делает вашу VPN менее безопасной. Я знаю две причины. Во-первых, это проблема управления учетными данными, используемыми для аутентификации в VPN - если многие клиенты используют один и тот же сертификат, то отмена этого сертификата также отменяет доступ для всех клиентов, которые его используют, что может быть или не быть желательным. Кроме того, клиентское устройство обычно перемещается и инициирует соединения с ряда общедоступных адресов - в этих случаях более вероятно, что это устройство сохранит тот же адрес в VPN, несмотря на роуминг, что требует наличия не более одного подключения на сертификат клиента.
Допустимым вариантом использования duplicate-cn может быть ситуация, когда ваши клиентские устройства не перемещаются, и вы не заботитесь об управлении доступом для каждого клиента, а ваш более высокий приоритет - не тратить слишком много времени на управление ключами и сертификатами. Я считаю, что в основе их рекомендации лежит тот факт, что таких случаев меньшинство, а также то, что большинство людей не понимают безопасности, не говоря уже о безопасности на основе PKI, и они не хотят мутить воду для таких людей.
Причина безопасности.
С --duplicate-cn разрешены два соединения с одинаковым общим именем, поэтому один сертификат может использоваться более чем одним соединением / пользователями.
Без --duplicate-cn каждый сертификат vpn должен иметь свой собственный CN, поэтому каждое соединение / пользователь имеет один уникальный сертификат.
Я думаю, что причина того, что duplicate-cn и client-config-dir не рекомендуются вместе, связана с проблемами, которые могут возникнуть, если у конкретного пользователя есть конфигурация со статическим IP-адресом, и они подключаются с нескольких устройств одновременно. В этой ситуации ничего не получится. Пока у пользователей с несколькими подключениями нет статических IP-адресов client-config-dir, проблем быть не должно.