首先得先理清楚你这套Stunnel配置的工作逻辑：Server A是Stunnel客户端模式（client = yes），负责把443端口的流量加密后发给Server B的993端口；Server B是Stunnel服务端模式（client = no），负责解密993端口的流量并转发给本地的OpenVPN端口。

你测试时两种情况都能通，核心原因是当前配置没有开启严格的双向证书验证：

• 对于Server B（服务端），默认不会强制要求客户端（Server A）提供有效的、受信任的证书，所以不管A用什么证书（和B的一致与否），只要A能发起SSL连接，B就会接受。
• 对于Server A（客户端），默认也不会验证Server B的证书有效性，所以B的证书是什么，A都不会拒绝连接。

接下来聊哪种选择更明智，分两种场景看：

1. 用相同证书：省心省力的选择 #

如果你的隧道只是内部使用，不需要严格的身份验证，用相同证书绝对是更省心的：

• 少一份证书的维护工作：不用分别跟踪两个证书的过期时间、更新流程，改一次就能同步到两端。
• 配置更简单：不用操心证书信任的问题，反正两边用的是同一个，不会出现验证失败的情况。

2. 用不同证书：更安全、更灵活的选择 #

如果考虑安全性或者你提到的防火墙指纹检测，用不同证书会更合适：

安全性层面 #

• 可以实现双向身份验证：如果你之后想开启严格的证书验证（比如给Server B加verify = 2强制验证客户端证书，给Server A加CAfile指定信任的服务端证书），不同证书能让你精准控制每个端点的身份权限——万一其中一个证书泄露，另一个端点的证书不受影响，风险更小。

防火墙规避层面 #

• 你担心的SSL指纹检测问题，不同证书确实能帮上忙：Server A对外暴露的是cert1.pem的指纹（443端口），而A和B之间的隧道用的是cert2.pem的指纹（993端口）。如果防火墙是基于对外的SSL指纹来识别并阻断流量，就算cert1.pem的指纹被拉黑，你只需要更换Server A的证书就行，不用动Server B的配置，灵活性更高。而且对外和内部的指纹不一样，也能降低防火墙把你的隧道识别为“特定加密流量”的概率。

总结建议 #

• 追求简单维护：选相同证书，适合内部低风险场景。
• 追求安全或需要规避防火墙检测：选不同证书，能提升安全性和应对风控的灵活性。

备注：内容来源于stack exchange，提问作者PouJa