Konfiguracja klienta Viscosity z OpenVPN#

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Ten przewodnik pokaże jak skonfigurować ` klienta Viscosity <https://www.sparklabs.com/viscosity/>`__ do połączenia z instancją OpenVPN, używając Nitrokey Pro 2 (lub Nitrokey Storage 2), oraz Uwierzytelnianie PKS#11.

Wymagania wstępne#

Do tego poradnika potrzebny jest zdalny serwer OpenVPN zainstalowany i skonfigurowany dla klientów. Na potrzeby tego dokumentu użyliśmy OpenVPN 2.49 zainstalowanego na serwerze Debian 10.

Aby przeczytać o tym, jak skonfigurować OpenVPN do uwierzytelniania z Nitrokey Pro, możesz zapoznać się z następującą dokumentacją ` <openvpn-easyrsa.html>`_, ponieważ w tym przewodniku zajmiemy się tylko sposobem konfiguracji klienta Viscosity.

Potrzebne będą również następujące elementy:

  • Nitrokey Pro 2 lub Nitrokey Storage 2

  • Klucz prywatny Klienta client.key załadowany na Nitrokey

  • Certyfikat Klienta client.crt załadowany na Nitrokey

  • Plik urzędu certyfikacji, tj. CA.crt plik używany do konfiguracji OpenVPN

  • Opcjonalnie: Plik współdzielonego tajnego klucza, tj. ta.key.

Aby uzyskać więcej informacji na temat PKCS#11 zarządzania kluczami z OpenVPN, proszę zapoznać się z dokumentacją OpenVPN..

Zastosowanie#

  1. Uruchom Viscosity i utwórz nowe połączenie „openVPN” (możesz nadać mu dowolną nazwę)

    img1

  2. Kliknij prawym przyciskiem myszy na połączenie i kliknij edytuj

    img2

  3. Dodaj adres IP Twojego serwera i skonfiguruj port zgodnie z Twoją konfiguracją.

  4. W sekcji uwierzytelnianie, w Type przewiń w dół do SSL/TLS Client (PKCS11).

  5. Wybierz plik CA dla swojego połączenia

    Opcjonalnie: Wybierz ta.key w sekcji TLS-Auth.

    img3

  6. Kliknij przycisk Add (Dodaj) obok pola Providers (Dostawcy) i wybierz moduł PKCS#11 dla Twojego Nitrokey. Można podać wielu dostawców, dla przykładu użyjemy OpenSC.

    W systemie macOS najczęstszym miejscem, w którym można znaleźć moduły, jest katalog /usr/lib. Proszę zapoznać się z dokumentacją dołączoną do oprogramowania sterownika, aby dowiedzieć się jakiej lokalizacji należy użyć. Moduł OpenSC można znaleźć pod adresem /Library/OpenSC/lib/opensc-pkcs11.so.

    W systemie Windows, najczęstszą lokalizacją dla bibliotek jest C:\Program Files lub C:\Windows\System32. Biblioteki OpenSC znajdują się zazwyczaj pod adresem C:\Program Files\OpenSC Project\OpenSC\pkcs11. Może być więcej niż jedna biblioteka dostępna tutaj, możesz wypróbować każdą z nich lub po prostu dodać obie.

  7. Wybierz metodę odzyskiwania z menu rozwijanego Odzyskaj

    img4

    • Jeśli na tym komputerze będzie używany tylko jeden klucz Nitrokey, wybierz Use certificate name below. Jeśli Nitrokey jest obecnie podłączony do komputera, kliknij przycisk Detect, aby Lepkość automatycznie wypełniła pole Nazwa. W przeciwnym razie pole to może zostać wypełnione ręcznie.

    • W razie wątpliwości lub jeśli może być używany więcej niż jeden Nitrokey (tj. wielu użytkowników), wybierz Prompt for certificate name.

    Jeżeli wybrano Prompt for certificate name, program Viscosity automatycznie wykryje wymagany klucz na Nitrokey, używając określonego(-ych) modułu(-ów) PKCS#11. Wybierz dowolne ze znalezionych urządzeń lub wprowadź nazwę urządzenia serialized id, którego chcesz użyć ręcznie. Ponownie, użytkownik powinien zostać poproszony o podanie hasła/PIN, jeśli jest to wymagane.

  8. Kliknij przycisk Zapisz i połącz się z głównego interfejsu.

Referencje#

Uwagi#

  • Viscosity nie jest darmowa, a zatem możesz napotkać problemy w korzystaniu z darmowej wersji.

  • Rozważamy użycie Pritunl jako wolnej i otwartej alternatywy.