Viscosity-asiakkaan konfigurointi OpenVPN:n kanssa

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	✓ active	⨯ inactive	✓ active	✓ active	⨯ inactive

Tässä oppaassa näytetään, miten Viscosity-asiakas määritetään muodostamaan yhteys OpenVPN-instanssiin, käyttämällä Nitrokey Pro 2 (tai Nitrokey Storage 2), ja PKCS#11-autentikointi.

Edellytykset

Tätä opasta varten tarvitset OpenVPN-etäpalvelimen, joka on asennettu ja määritetty asiakkaita varten. Tässä asiakirjassa on käytetty OpenVPN 2.49:ää, joka on asennettu Debian 10 -palvelimelle.

To read about how to configure OpenVPN to authenticate with Nitrokey Pro, you might consult the following documentation, as we will just cover the way to configure the Viscosity client in this guide.

Tarvitset myös seuraavat tiedot:

• Nitrokey Pro 2 tai Nitrokey Storage 2.

• Asiakkaan yksityinen avain client.key ladattu Nitrokey-avaimeen.

• Asiakkaan varmenne client.crt ladattu Nitrokey-avaimeen

• Certificate Authority -tiedosto, eli CA.crt tiedosto, jota käytetään OpenVPN-asennuksessasi.

• Valinnainen: Jaetun salaisen avaimen tiedosto, esim. ta.key

Lisätietoja PKCS#11 avainten hallinnasta OpenVPN:n kanssa on OpenVPN:n `dokumentaatiossa. <https://openvpn.net/community-resources/how-to/>`___.

Käyttö

1. Käynnistä Viscosity ja luo uusi yhteys ”openVPN” (voit nimetä sen haluamallasi tavalla).

   

2. Napsauta yhteyttä hiiren oikealla painikkeella ja valitse muokkaa

   

3. Lisää palvelimesi IP-osoite ja määritä portti kokoonpanosi mukaan.

4. Kohdassa todennus, Type selaa alaspäin kohtaan SSL/TLS Client (PKCS11).

5. Valitse yhteyden CA-tiedosto

   Valinnainen: Valitse ta.key kohdassa TLS-Auth.

   

6. Napsauta Lisää-painiketta Providers-kentän vieressä ja valitse Nitrokey-moduuli PKCS#11. Voit määrittää useita palveluntarjoajia, ja esimerkiksi me käytämme OpenSC.

   MacOS-käyttöjärjestelmässä moduulien yleisin sijainti on /usr/lib-hakemistossa. Katso ajuriohjelmiston mukana toimitetusta dokumentaatiosta, mitä sijaintia kannattaa käyttää. OpenSC:n moduuli löytyy osoitteesta /Library/OpenSC/lib/opensc-pkcs11.so

   On Windows, the most common location for libraries is either in C:\Program Files or C:\Windows\System32. OpenSC libraries are generally located at C:\Program Files\OpenSC Project\OpenSC\pkcs11. There may be more than one library available here, you can try each one or simply add both.

7. Valitse hakumenetelmä pudotusvalikosta Retrieval (Haku).

   

   • Jos tällä tietokoneella käytetään vain yhtä Nitrokey-avainta, valitse Use certificate name below. Jos Nitrokey on tällä hetkellä liitetty tietokoneeseen, napsauta Detect-painiketta, jotta Viskositeetti täyttää automaattisesti Nimi-kentän. Muussa tapauksessa tämä kenttä voidaan täyttää manuaalisesti.

   • Jos olet epävarma tai jos käytetään useampaa kuin yhtä Nitrokey-avainta (eli useita käyttäjiä), valitse Prompt for certificate name.

   Jos Prompt for certificate name on valittuna, Viscosity havaitsee automaattisesti tarvittavan avaimen Nitrokey-avaimessa käyttämällä määritettyä PKCS#11-moduulia/-moduuleja. Valitse jokin löydetyistä laitteista tai anna manuaalisesti käytettävän serialized id nimi. Käyttäjältä on jälleen pyydettävä salasana tai tunnusluku, jos se on tarpeen.

8. Napsauta Tallenna-painiketta ja muodosta yhteys pääkäyttöliittymästäsi.

Viitteet

• `Tunnisteiden ja älykorttien käyttö (PKCS#11) <https://www.sparklabs.com/support/kb/article/using-tokens-smartcards-pkcs-11/>`____

• `OpenVPN How-To <https://openvpn.net/community-resources/how-to/>`____

Huomautukset

• Viscosity ei ole ilmainen, joten ilmaisen version käyttö saattaa aiheuttaa ongelmia.

• Harkitsemme Pritunl käyttöä ilmaisena ja avoimena vaihtoehtona.