Viscosity-asiakkaan konfigurointi OpenVPN:n kanssa

Nitrokey 3	Nitrokey Passkey	Nitrokey FIDO2	Nitrokey U2F	Nitrokey HSM 2	Nitrokey Pro 2	Nitrokey Start	Nitrokey Storage 2
✓	⨯	⨯	⨯	⨯	✓	✓	✓

Tässä oppaassa näytetään, miten Viscosity-asiakas määritetään muodostamaan yhteys OpenVPN-instanssiin, käyttämällä Nitrokey Pro 2 (tai Nitrokey Storage 2), ja PKCS#11-autentikointi.

Edellytykset

Tätä opasta varten tarvitset OpenVPN-etäpalvelimen, joka on asennettu ja määritetty asiakkaita varten. Tässä asiakirjassa on käytetty OpenVPN 2.49:ää, joka on asennettu Debian 10 -palvelimelle.

Jos haluat lukea, miten OpenVPN:n konfigurointi todennetaan Nitrokey Pro -ohjelmalla, voit tutustua seuraavaan dokumentaatioon, sillä tässä oppaassa käsitellään vain Viscosity-asiakkaan konfigurointia.

Tarvitset myös seuraavat tiedot:

• Nitrokey Pro 2 tai Nitrokey Storage 2.

• Asiakkaan yksityinen avain client.key ladattu Nitrokey-avaimeen.

• Asiakkaan varmenne client.crt ladattu Nitrokey-avaimeen

• Certificate Authority -tiedosto, eli CA.crt tiedosto, jota käytetään OpenVPN-asennuksessasi.

• Valinnainen: Jaetun salaisen avaimen tiedosto, esim. ta.key

Lisätietoja PKCS#11 avainten hallinnasta OpenVPN:n kanssa on OpenVPN:n `dokumentaatiossa. <https://openvpn.net/community-resources/how-to/>`___.

Käyttö

1. Käynnistä Viscosity ja luo uusi yhteys ”openVPN” (voit nimetä sen haluamallasi tavalla).

   

2. Napsauta yhteyttä hiiren oikealla painikkeella ja valitse muokkaa

   

3. Lisää palvelimesi IP-osoite ja määritä portti kokoonpanosi mukaan.

4. Kohdassa todennus, Type selaa alaspäin kohtaan SSL/TLS Client (PKCS11).

5. Valitse yhteyden CA-tiedosto

   Valinnainen: Valitse ta.key kohdassa TLS-Auth.

   

6. Napsauta Lisää-painiketta Providers-kentän vieressä ja valitse Nitrokey-moduuli PKCS#11. Voit määrittää useita palveluntarjoajia, ja esimerkiksi me käytämme OpenSC.

   MacOS-käyttöjärjestelmässä moduulien yleisin sijainti on /usr/lib-hakemistossa. Katso ajuriohjelmiston mukana toimitetusta dokumentaatiosta, mitä sijaintia kannattaa käyttää. OpenSC:n moduuli löytyy osoitteesta /Library/OpenSC/lib/opensc-pkcs11.so

   Windowsissa kirjastojen yleisin sijaintipaikka on joko C:\Program Files tai C:\Windows\System32. OpenSC-kirjastot sijaitsevat yleensä osoitteessa C:\Program Files\OpenSC Project\OpenSC\pkcs11. Täällä voi olla useampi kuin yksi kirjasto, voit kokeilla kumpaakin tai yksinkertaisesti lisätä molemmat.

7. Valitse hakumenetelmä pudotusvalikosta Retrieval (Haku).

   

   • Jos tällä tietokoneella käytetään vain yhtä Nitrokey-avainta, valitse Use certificate name below. Jos Nitrokey on tällä hetkellä liitetty tietokoneeseen, napsauta Detect-painiketta, jotta Viskositeetti täyttää automaattisesti Nimi-kentän. Muussa tapauksessa tämä kenttä voidaan täyttää manuaalisesti.

   • Jos olet epävarma tai jos käytetään useampaa kuin yhtä Nitrokey-avainta (eli useita käyttäjiä), valitse Prompt for certificate name.

   Jos Prompt for certificate name on valittuna, Viscosity havaitsee automaattisesti tarvittavan avaimen Nitrokey-avaimessa käyttämällä määritettyä PKCS#11-moduulia/-moduuleja. Valitse jokin löydetyistä laitteista tai anna manuaalisesti käytettävän serialized id nimi. Käyttäjältä on jälleen pyydettävä salasana tai tunnusluku, jos se on tarpeen.

8. Napsauta Tallenna-painiketta ja muodosta yhteys pääkäyttöliittymästäsi.

Viitteet

• `Tunnisteiden ja älykorttien käyttö (PKCS#11) <https://www.sparklabs.com/support/kb/article/using-tokens-smartcards-pkcs-11/>`____

• `OpenVPN How-To <https://openvpn.net/community-resources/how-to/>`____

Huomautukset

• Viscosity ei ole ilmainen, joten ilmaisen version käyttö saattaa aiheuttaa ongelmia.

• Harkitsemme Pritunl käyttöä ilmaisena ja avoimena vaihtoehtona.