Конфигуриране на клиент на Viscosity с OpenVPN#

(Nitrokey FIDO2 - Windows)

Това ръководство ще покаже как да конфигурирате клиент на Viscosity, за да се свържете с OpenVPN инстанция, като използвате Nitrokey Pro 2 (или Nitrokey Storage 2), и PKCS#11 удостоверяване.

Предварителни условия#

За това ръководство ще ви е необходим отдалечен сървър OpenVPN, инсталиран и конфигуриран за клиенти. За целите на този документ използвахме OpenVPN 2.49, инсталиран на сървър Debian 10.

За да прочетете как да конфигурирате OpenVPN за удостоверяване с Nitrokey Pro, можете да се обърнете към следната документация, тъй като в това ръководство ще разгледаме само начина за конфигуриране на клиента Viscosity.

Необходими са ви и следните неща:

  • Pro 2 + съхранение 2

  • Частният ключ на клиента client.key, зареден в Nitrokey

  • Сертификатът на клиента client.crt, зареден в Nitrokey

  • Файлът на удостоверяващия орган, т.е. CA.crt, използван за вашата OpenVPN настройка

  • По избор: Файлът със споделения секретен ключ, т.е. ta.key

За повече информация относно PKCS#11 управлението на ключове с OpenVPN, моля, вижте документацията на OpenVPN.

Употреба#

  1. Стартирайте Viscosity и създайте нова връзка „openVPN“ (можете да я наречете както желаете)

Изображение 1
  1. Щракнете с десния бутон върху връзката и щракнете върху редактиране

Изображение2
  1. Добавете IP адреса на сървъра си и конфигурирайте порта според конфигурацията си.

  2. Под удостоверяване, В Type превъртете надолу до SSL/TLS Client (PKCS11).

  3. Изберете файла CA за вашата връзка

По избор: Изберете ta.key в раздела TLS-Auth

Изображение3
  1. Щракнете върху бутона Добавяне до полето Доставчици и изберете модула PKCS#11 за вашия Nitrokey. Могат да бъдат зададени няколко доставчика, като например ние ще използваме OpenSC.

В MacOS най-често модулите се намират в директорията /usr/lib. Моля, вижте документацията, включена в софтуера на драйвера, за местоположението, което трябва да използвате. Модулът на OpenSC може да бъде намерен на адрес /Library/OpenSC/lib/opensc-pkcs11.so

В Windows най-често срещаното местоположение на библиотеките е в C:\Program Files или C:\Windows\System32. Библиотеките на OpenSC обикновено се намират на адрес C:\Program Files\OpenSC Project\OpenSC\pkcs11. Възможно е тук да има повече от една библиотека, можете да опитате всяка от тях или просто да добавите и двете.

  1. Изберете метод за извличане от падащото меню Извличане

Изображение4
  • Ако на този компютър ще се използва само един Nitrokey, изберете Use certificate name below. Ако Nitrokey е свързан към компютъра в момента, щракнете върху Detect, за да се попълни автоматично полето Name (Име). В противен случай това поле може да се попълни ръчно.

  • Ако имате съмнения или ако може да се използва повече от един Nitrokey (т.е. няколко потребители), изберете Prompt for certificate name.

Ако е избрано Prompt for certificate name, Viscosity автоматично ще открие необходимия ключ на Nitrokey, като използва зададения модул/и PKCS#11. Изберете някое от намерените устройства или въведете името на serialized id, което да използвате ръчно. Отново трябва да се изиска от потребителя да въведе парола/ПИН код, ако е необходимо.

  1. Щракнете върху бутона Запазване и се свържете от главния си интерфейс

Бележки#

  • Viscosity не е безплатна и затова може да се сблъскате с проблеми при използването на безплатната версия.

  • Обмисляме използването на Pritunl като безплатна и отворена алтернатива.