Viscosity-clientconfiguratie met OpenVPN#

Deze handleiding laat zien hoe je Viscosity client kunt configureren om verbinding te maken met een OpenVPN instance, met behulp van een Nitrokey Pro 2 (of Nitrokey Storage 2), en PKCS#11-authenticatie.

Vereisten#

Voor deze gids hebt u een OpenVPN remote server nodig die geïnstalleerd en geconfigureerd is voor clients. Voor het doel van dit document hebben we OpenVPN 2.49 gebruikt, geïnstalleerd op een Debian 10 server.

Om te lezen hoe OpenVPN geconfigureerd moet worden om met Nitrokey Pro te authenticeren, zou u de volgende documentatie kunnen raadplegen, aangezien we in deze gids alleen de manier zullen behandelen waarop de Viscosity client geconfigureerd moet worden.

U heeft ook het volgende nodig:

  • Een Nitrokey Pro 2 of Nitrokey Storage 2

  • De privésleutel van de klant client.key geladen op de Nitrokey

  • Het certificaat van de klant client.crt geladen op de Nitrokey

  • Het certificaatautoriteitbestand, d.w.z. CA.crt bestand gebruikt voor uw OpenVPN setup

  • Optioneel: Het bestand met de gedeelde geheime sleutel, d.w.z. ta.key

Voor meer informatie over PKCS#11 sleutelbeheer met OpenVPN, raadpleegt u OpenVPN’s documentatie.

Gebruik#

  1. Start Viscosity en maak een nieuwe verbinding “openVPN” (u kunt het een naam geven zoals u wilt)

    img1
  2. Klik met de rechtermuisknop op de verbinding en klik op bewerken

    img2
  3. Voeg het IP adres van uw server toe en configureer de poort volgens uw configuratie.

  4. Onder authentificatie, in Type scroll naar beneden naar SSL/TLS Client (PKCS11)

  5. Selecteer het CA-bestand voor uw verbinding

    Optioneel: Selecteer de ta.key in de TLS-Auth sectie

    img3
  6. Klik op de knop Toevoegen naast het veld Providers en selecteer de PKCS#11 module voor uw Nitrokey. U kunt meerdere providers opgeven, en wij zullen bijvoorbeeld OpenSC gebruiken.

    Op macOS is de meest gebruikelijke locatie voor modules de /usr/lib directory. Raadpleeg de documentatie bij uw besturingssoftware voor de te gebruiken locatie. OpenSC’s module kan worden gevonden op /Library/OpenSC/lib/opensc-pkcs11.so

    Onder Windows is de meest gebruikelijke locatie voor bibliotheken ofwel in C:\Program Files of C:\Windows\System32. OpenSC-bibliotheken zijn over het algemeen te vinden op C:\Program Files\OpenSC Project\OpenSC\pkcs11. Er kan meer dan één bibliotheek beschikbaar zijn hier, u kunt ze allemaal proberen of gewoon beide toevoegen.

  7. Kies een ophaalmethode uit het keuzemenu Ophalen

    img4
    • Als er ooit maar één Nitrokey op deze computer zal worden gebruikt, selecteer dan Use certificate name below. Als de Nitrokey momenteel op de computer is aangesloten, klikt u op de knop Detect voor Viscosity om het veld Naam automatisch in te vullen. Anders kan dit veld handmatig worden ingevuld.

    • In geval van twijfel, of als er meer dan één Nitrokey mag worden gebruikt (d.w.z. meerdere gebruikers), selecteer dan Prompt for certificate name.

    Als Prompt for certificate name is geselecteerd, zal Viscosity automatisch de vereiste sleutel op de Nitrokey detecteren, met gebruikmaking van de opgegeven PKCS#11-module(s). Kies uit een van de gevonden apparaten, of voer de naam in van de serialized id die u handmatig wilt gebruiken. Ook hier moet de gebruiker om een wachtwoord/PIN worden gevraagd, indien nodig.

  8. Klik op de knop Opslaan en maak verbinding vanuit de hoofdinterface

Referenties#

Opmerkingen#

  • Viscosity is niet gratis, en u kunt dus tegen problemen aanlopen bij het gebruik van de gratis versie.

  • Wij overwegen het gebruik van Pritunl als een vrij en open alternatief.