Viscosity-asiakkaan konfigurointi OpenVPN:n kanssa

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive

Tässä oppaassa näytetään, miten Viscosity-asiakas määritetään muodostamaan yhteys OpenVPN-instanssiin, käyttämällä Nitrokey Pro 2 (tai Nitrokey Storage 2), ja PKCS#11-autentikointi.

Edellytykset

Tätä opasta varten tarvitset OpenVPN-etäpalvelimen, joka on asennettu ja määritetty asiakkaita varten. Tässä asiakirjassa on käytetty OpenVPN 2.49:ää, joka on asennettu Debian 10 -palvelimelle.

Jos haluat lukea, miten OpenVPN:n konfigurointi todennetaan Nitrokey Pro -ohjelmalla, voit tutustua seuraavaan dokumentaatioon, sillä tässä oppaassa käsitellään vain Viscosity-asiakkaan konfigurointia.

Tarvitset myös seuraavat tiedot:

• Nitrokey Pro 2 tai Nitrokey Storage 2.

• Asiakkaan yksityinen avain client.key ladattu Nitrokey-avaimeen.

• Asiakkaan varmenne client.crt ladattu Nitrokey-avaimeen

• Certificate Authority -tiedosto, eli CA.crt tiedosto, jota käytetään OpenVPN-asennuksessasi.

• Valinnainen: Jaetun salaisen avaimen tiedosto, esim. ta.key

Lisätietoja PKCS#11 avainten hallinnasta OpenVPN:n kanssa on OpenVPN:n `dokumentaatiossa. <https://openvpn.net/community-resources/how-to/>`___.

Käyttö

1. Käynnistä Viscosity ja luo uusi yhteys ”openVPN” (voit nimetä sen haluamallasi tavalla).

   

2. Napsauta yhteyttä hiiren oikealla painikkeella ja valitse muokkaa

   

3. Lisää palvelimesi IP-osoite ja määritä portti kokoonpanosi mukaan.

4. Kohdassa todennus, Type selaa alaspäin kohtaan SSL/TLS Client (PKCS11).

5. Valitse yhteyden CA-tiedosto

   Valinnainen: Valitse ta.key kohdassa TLS-Auth.

   

6. Napsauta Lisää-painiketta Providers-kentän vieressä ja valitse Nitrokey-moduuli PKCS#11. Voit määrittää useita palveluntarjoajia, ja esimerkiksi me käytämme OpenSC.

   MacOS-käyttöjärjestelmässä moduulien yleisin sijainti on /usr/lib-hakemistossa. Katso ajuriohjelmiston mukana toimitetusta dokumentaatiosta, mitä sijaintia kannattaa käyttää. OpenSC:n moduuli löytyy osoitteesta /Library/OpenSC/lib/opensc-pkcs11.so

   On Windows, the most common location for libraries is either in C:\Program Files or C:\Windows\System32. OpenSC libraries are generally located at C:\Program Files\OpenSC Project\OpenSC\pkcs11. There may be more than one library available here, you can try each one or simply add both.

7. Valitse hakumenetelmä pudotusvalikosta Retrieval (Haku).

   

   • Jos tällä tietokoneella käytetään vain yhtä Nitrokey-avainta, valitse Use certificate name below. Jos Nitrokey on tällä hetkellä liitetty tietokoneeseen, napsauta Detect-painiketta, jotta Viskositeetti täyttää automaattisesti Nimi-kentän. Muussa tapauksessa tämä kenttä voidaan täyttää manuaalisesti.

   • Jos olet epävarma tai jos käytetään useampaa kuin yhtä Nitrokey-avainta (eli useita käyttäjiä), valitse Prompt for certificate name.

   Jos Prompt for certificate name on valittuna, Viscosity havaitsee automaattisesti tarvittavan avaimen Nitrokey-avaimessa käyttämällä määritettyä PKCS#11-moduulia/-moduuleja. Valitse jokin löydetyistä laitteista tai anna manuaalisesti käytettävän serialized id nimi. Käyttäjältä on jälleen pyydettävä salasana tai tunnusluku, jos se on tarpeen.

8. Napsauta Tallenna-painiketta ja muodosta yhteys pääkäyttöliittymästäsi.

Viitteet

• `Tunnisteiden ja älykorttien käyttö (PKCS#11) <https://www.sparklabs.com/support/kb/article/using-tokens-smartcards-pkcs-11/>`____

• `OpenVPN How-To <https://openvpn.net/community-resources/how-to/>`____

Huomautukset

• Viscosity ei ole ilmainen, joten ilmaisen version käyttö saattaa aiheuttaa ongelmia.

• Harkitsemme Pritunl käyttöä ilmaisena ja avoimena vaihtoehtona.