Viscosity Client Konfiguration mit OpenVPN#

Diese Anleitung zeigt, wie man den Viscosity-Client konfiguriert, um sich mit einer OpenVPN-Instanz zu verbinden, mit einem Nitrokey Pro 2 (oder Nitrokey Storage 2), und PKCS#11-Authentifizierung.

Voraussetzungen#

Für diese Anleitung benötigen Sie einen installierten und für Clients konfigurierten OpenVPN-Remote-Server. Für die Zwecke dieses Dokuments haben wir OpenVPN 2.49 verwendet, das auf einem Debian 10-Server installiert ist.

Wenn Sie wissen möchten, wie Sie OpenVPN für die Authentifizierung mit Nitrokey Pro konfigurieren, lesen Sie bitte die folgende Dokumentation, da wir in diesem Leitfaden nur die Konfiguration des Viscosity-Clients behandeln werden.

Sie benötigen außerdem Folgendes:

  • Ein Nitrokey Pro 2 oder Nitrokey Storage 2

  • Privater Schlüssel des Clients client.key auf den Nitrokey geladen

  • Zertifikat des Clients client.crt auf den Nitrokey geladen

  • Die Datei der Zertifizierungsstelle, d.h. die Datei CA.crt, die für Ihre OpenVPN-Einrichtung verwendet wird

  • Optional: Die gemeinsame geheime Schlüsseldatei, d. h. ta.key

Für weitere Informationen über PKCS#11 Schlüsselverwaltung mit OpenVPN, konsultieren Sie bitte die Dokumentation von OpenVPN.

Verwendung#

  1. Starten Sie Viscosity und legen Sie eine neue Verbindung „openVPN“ an (Sie können sie beliebig benennen)

img1

  1. Klicken Sie mit der rechten Maustaste auf die Verbindung und klicken Sie auf Bearbeiten

img2

  1. Fügen Sie die IP-Adresse Ihres Servers hinzu und konfigurieren Sie den Port entsprechend Ihrer Konfiguration.

  2. Unter Typ scrollen Sie unter Authentifizierung nach unten zu SSL/TLS Client (PKCS11)

  3. Wählen Sie die CA-Datei für Ihre Verbindung

Optional: Wählen Sie den ta.key im Abschnitt TLS-Auth aus

img3

  1. Klicken Sie auf die Schaltfläche „Hinzufügen“ neben dem Feld „Provider“ und wählen Sie das Modul PKCS#11 für Ihren Nitrokey aus. Es können mehrere Provider angegeben werden, und wir werden zum Beispiel OpenSC verwenden.

Unter macOS befinden sich die Module in der Regel im Verzeichnis /usr/lib. Bitte lesen Sie in der Dokumentation Ihrer Treibersoftware nach, welchen Ort Sie verwenden müssen. Das Modul von OpenSC finden Sie unter /Library/OpenSC/lib/opensc-pkcs11.so

Unter Windows befindet sich der übliche Speicherort für Bibliotheken entweder in C:\Programme oder C:\Windows\System32. OpenSC-Bibliotheken befinden sich im Allgemeinen unter C:\Programme\OpenSC-Projekt\OpenSC\pkcs11. Es kann sein, dass hier mehr als eine Bibliothek verfügbar ist, Sie können jede einzelne ausprobieren oder einfach beide hinzufügen.

  1. Wählen Sie eine Abrufmethode aus dem Dropdown-Menü Abruf

img4

  • Wenn nur ein Nitrokey auf diesem Computer verwendet werden soll, wählen Sie Namen des Zertifikats unten verwenden. Wenn der Nitrokey gerade mit dem Computer verbunden ist, klicken Sie auf die Schaltfläche Detect, damit Viscosity das Feld Name automatisch ausfüllt. Andernfalls kann dieses Feld manuell ausgefüllt werden.

  • Im Zweifelsfall, oder wenn mehr als ein Nitrokey verwendet werden soll (z.B. bei mehreren Benutzern), wählen Sie Prompt for certificate name.

Wenn Prompt for certificate name gewählt wurde, erkennt Viscosity automatisch den benötigten Schlüssel auf dem Nitrokey, unter Verwendung des/der angegebenen PKCS#11-Module/s. Wählen Sie aus einem der gefundenen Geräte aus, oder geben Sie den Namen der serialisierten ID manuell ein. Auch hier sollte der Benutzer nach einem Passwort/PIN gefragt werden, falls erforderlich.

  1. Klicken Sie auf die Schaltfläche „Speichern“ und stellen Sie die Verbindung über die Hauptschnittstelle her

Referenzen#

Hinweise#

  • Viscosity ist nicht kostenlos, daher können Sie bei der Verwendung der kostenlosen Version auf Probleme stoßen.

  • Wir erwägen die Verwendung von Pritunl als eine freie und offene Alternative.