Konfiguration af Viscosity-klient med OpenVPN#

(Nitrokey Pro 2 - Windows)

Denne vejledning viser, hvordan du konfigurerer Viscosity-klienten til at oprette forbindelse til en OpenVPN-instans, ved hjælp af en `Nitrokey Pro 2 <https://shop.nitrokey.com/shop/product/nk-pro-2-nitrokey-pro-2-3><x>`_ (eller `Nitrokey Storage 2 <https://shop.nitrokey.com/shop/product/nitrokey-storage-2-56><x>`_), og PKCS#11-godkendelse.

Forudsætninger#

I denne vejledning skal du have en OpenVPN-fjernserver installeret og konfigureret til klienter. I dette dokument har vi brugt OpenVPN 2.49 installeret på en Debian 10-server.

Hvis du vil læse om, hvordan du konfigurerer OpenVPN til at autentificere med Nitrokey Pro, kan du læse følgende dokumentation, da vi i denne vejledning kun vil beskrive, hvordan du konfigurerer Viscosity-klienten.

Du skal også bruge følgende:

  • En Nitrokey Pro 2 eller Nitrokey Storage 2

  • Klientens private nøgle client.key indlæses på Nitrokey

  • Klientens certifikat client.crt indlæses på Nitrokey

  • Certifikatmyndighedsfilen, dvs. CA.crt-filen, der bruges til din OpenVPN-opsætning

  • Valgfrit: Den delte hemmelige nøglefil, dvs. ta.key

Du kan finde flere oplysninger om PKCS#11 nøglehåndtering med OpenVPN i OpenVPN’s dokumentation.

Anvendelse#

  1. Start Viscosity og opret en ny forbindelse »openVPN« (du kan navngive den som du vil)

img1
  1. Højreklik på forbindelsen, og klik på Rediger

img2
  1. Tilføj din servers IP-adresse, og konfigurer porten i overensstemmelse med din konfiguration.

  2. Under godkendelse skal du i Type scrolle ned til SSL/TLS Client (PKCS11).

  3. Vælg CA-filen til din forbindelse

Valgfrit: Vælg ta.key i afsnittet TLS-Auth.

img3
  1. Klik på knappen Tilføj ved siden af feltet Providers, og vælg PKCS#11-modulet til din Nitrokey. Der kan angives flere udbydere, og vi vil f.eks. bruge OpenSC.

På macOS findes moduler oftest i mappen /usr/lib. Se venligst dokumentationen, der følger med din driver-software, for at finde den placering, der skal bruges. OpenSC’s modul kan findes på /Library/OpenSC/lib/opensc-pkcs11.so

På Windows er den mest almindelige placering for biblioteker enten i C:\Program Files eller C:\Windows\System32. OpenSC-bibliotekerne er generelt placeret på C:\Program Files\OpenSC Project\OpenSC\pkcs11. Der kan være mere end ét bibliotek tilgængeligt her, du kan prøve hvert enkelt bibliotek eller blot tilføje begge biblioteker.

  1. Vælg en hentningsmetode fra rullemenuen Hentning

img4
  • Hvis der kun skal bruges én Nitrokey på denne computer, skal du vælge Use certificate name below. Hvis Nitrokey’en i øjeblikket er tilsluttet computeren, skal du klikke på knappen Detect for Viscosity for automatisk at udfylde feltet Navn. Ellers kan dette felt udfyldes manuelt.

  • Hvis du er i tvivl, eller hvis der kan bruges mere end én Nitrokey (dvs. flere brugere), skal du vælge Prompt for certificate name.

Hvis Prompt for certificate name blev valgt, vil Viscosity automatisk registrere den nødvendige nøgle på Nitrokey ved hjælp af det/de angivne PKCS#11-modul(er). Vælg fra en af de fundne enheder, eller indtast navnet på den serialized id, der skal bruges manuelt. Igen skal brugeren om nødvendigt anmodes om en adgangskode/PIN.

  1. Klik på knappen Gem, og opret forbindelse fra din hovedgrænseflade

Noter#

  • Viscosity er ikke gratis, og du kan derfor støde på problemer ved at bruge den gratis version.

  • Vi overvejer at bruge Pritunl som et gratis og åbent alternativ.