Configuration du client Viscosity avec OpenVPN#
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
Ce guide montrera comment configurer le client Viscosity pour se connecter à une instance OpenVPN, en utilisant une Nitrokey Pro 2 (ou Nitrokey Storage 2), et PKCS#11 authentification.
Conditions préalables#
Pour ce guide, vous aurez besoin d’un serveur distant OpenVPN installé et configuré pour les clients. Pour les besoins de ce document, nous avons utilisé OpenVPN 2.49 installé sur un serveur Debian 10.
Pour lire comment configurer OpenVPN pour s’authentifier avec Nitrokey Pro, vous pourriez consulter la documentation suivante, car nous couvrirons seulement la façon de configurer le client Viscosity dans ce guide.
Vous aurez également besoin des éléments suivants :
Un Nitrokey Pro 2 ou Nitrokey Storage 2
La clé privée du client
client.key
chargée sur le NitrokeyLe certificat du client
client.crt
chargé sur le NitrokeyThe Certificate Authority file, i.e.
CA.crt
file used for your OpenVPN setupOptional: The shared secret key file, i.e.
ta.key
Pour plus d’informations sur la PKCS#11
gestion des clés avec OpenVPN, veuillez consulter la `documentation d’OpenVPN. <https://openvpn.net/community-resources/how-to/>`___.
Utilisation#
Démarrez Viscosity et créez une nouvelle connexion « openVPN » (vous pouvez la nommer comme vous le souhaitez).
Cliquez à droite sur la connexion et cliquez sur modifier
Ajoutez l’adresse IP de votre serveur et configurez le port en fonction de votre configuration.
Sous authentification, dans « Type », faites défiler jusqu’à « Client SSL/TLS (PKCS11) ».
Sélectionnez le fichier CA pour votre connexion
Facultatif : Sélectionnez le
ta.key
dans la section ``TLS-Auth`””.Cliquez sur le bouton Ajouter à côté du champ Fournisseurs et sélectionnez le module
PKCS#11
pour votre Nitrokey. Plusieurs fournisseurs peuvent être spécifiés, et pour l’exemple nous utiliseronsOpenSC
.Sous macOS, l’emplacement le plus courant pour trouver les modules est le répertoire /usr/lib. Veuillez vous référer à la documentation fournie avec votre logiciel de pilotage pour connaître l’emplacement à utiliser. Le module d’OpenSC se trouve dans le répertoire
/Library/OpenSC/lib/opensc-pkcs11.so
.On Windows, the most common location for libraries is either in
C:\Program Files
orC:\Windows\System32
. OpenSC libraries are generally located atC:\Program Files\OpenSC Project\OpenSC\pkcs11
. There may be more than one library available here, you can try each one or simply add both.Choisissez une méthode d’extraction dans le menu déroulant « Extraction ».
Si une seule Nitrokey doit être utilisée sur cet ordinateur, sélectionnez « Utiliser le nom du certificat ci-dessous ». Si la Nitrokey est actuellement connectée à l’ordinateur, cliquez sur le bouton « Détecter » pour que Viscosity remplisse automatiquement le champ Nom. Sinon, ce champ peut être rempli manuellement.
If in doubt, or if more than one Nitrokey may be used (i.e. multiple users), then select
Prompt for certificate name
.
Si « Demander le nom du certificat » a été sélectionné, Viscosity détectera automatiquement la clé requise sur la Nitrokey, en utilisant le ou les modules PKCS#11 spécifiés. Sélectionnez l’un des dispositifs trouvés, ou entrez le nom de l“« identifiant sérialisé » à utiliser manuellement. Là encore, l’utilisateur est invité à saisir un mot de passe/PIN si nécessaire.
Cliquez sur le bouton Enregistrer et connectez-vous à partir de votre interface principale.
Références#
`Utilisation de jetons/cartes à puce (PKCS#11) <https://www.sparklabs.com/support/kb/article/using-tokens-smartcards-pkcs-11/>`___.
`OpenVPN How-To <https://openvpn.net/community-resources/how-to/>`___.
Notes#
Viscosity n’est pas gratuit, et vous pourriez donc rencontrer des problèmes en utilisant la version gratuite.
Nous envisageons l’utilisation de Pritunl comme alternative libre et ouverte.