Konfiguration av Viscosity-klienten med OpenVPN#

(Nitrokey HSM 2 - Windows)

Den här guiden visar hur du konfigurerar Viscosity-klienten för att ansluta till en OpenVPN-instans, med hjälp av en Nitrokey Pro 2 (eller Nitrokey Storage 2), och PKCS#11-autentisering.

Förutsättningar#

För den här guiden behöver du en OpenVPN-fjärrserver installerad och konfigurerad för klienter. I det här dokumentet har vi använt OpenVPN 2.49 installerat på en Debian 10-server.

Om du vill läsa om hur du konfigurerar OpenVPN för att autentisera med Nitrokey Pro kan du läsa följande dokumentation, eftersom vi i den här guiden bara kommer att behandla hur Viscosity-klienten ska konfigureras.

Du behöver också följande:

  • Nitrokey Pro 2, Nitrokey Storage 2 eller Nitrokey HSM 2

  • Klientens privata nyckel client.key laddad på Nitrokey

  • Klientens certifikat client.crt laddat på Nitrokey

  • Filen för certifikatutfärdaren, dvs. CA.crt-filen som används för din OpenVPN-inställning.

  • Valfritt: Den delade hemliga nyckelfilen, dvs. ta.key.

Mer information om PKCS#11 nyckelhantering med OpenVPN finns i OpenVPN:s dokumentation.

Användning#

  1. Starta Viscosity och skapa en ny anslutning ”openVPN” (du kan kalla den som du vill).

img1
  1. Högerklicka på anslutningen och klicka på redigera

img2
  1. Lägg till serverns IP-adress och konfigurera porten enligt din konfiguration.

  2. Under autentisering, i Type rulla ner till SSL/TLS Client (PKCS11).

  3. Välj CA-filen för din anslutning

Valfritt: Välj ta.key i avsnittet TLS-Auth.

img3
  1. Klicka på knappen Lägg till bredvid fältet Providers och välj PKCS#11-modulen för din Nitrokey. Flera leverantörer kan anges och vi kommer till exempel att använda OpenSC.

På macOS finns moduler oftast i katalogen /usr/lib. Se den dokumentation som medföljer din drivrutin för att få reda på vilken plats du ska använda. OpenSC:s modul finns på /Library/OpenSC/lib/opensc-pkcs11.so.

I Windows är den vanligaste platsen för bibliotek antingen i C:\Program Files eller C:\Windows\System32. OpenSC-biblioteken finns i allmänhet på C:\Program Files\OpenSC Project\OpenSC\pkcs11. Det kan finnas mer än ett bibliotek tillgängligt här, du kan prova varje bibliotek eller helt enkelt lägga till båda.

  1. Välj en hämtningsmetod från rullgardinsmenyn Hämtning.

img4
  • Om endast en Nitrokey ska användas på den här datorn väljer du Use certificate name below. Om Nitrokey för närvarande är ansluten till datorn klickar du på knappen Detect för att Viscosity automatiskt ska fylla i fältet Namn. Annars kan fältet fyllas i manuellt.

  • Om du är osäker, eller om mer än en Nitrokey kan användas (dvs. flera användare), välj Prompt for certificate name.

Om Prompt for certificate name valdes kommer Viscosity automatiskt att upptäcka den nödvändiga nyckeln på Nitrokey med hjälp av den/de angivna PKCS#11-modulen/erna. Välj bland de hittade enheterna eller ange namnet på den serialized id som ska användas manuellt. Återigen bör användaren uppmanas att ange ett lösenord/PIN om så krävs.

  1. Klicka på knappen Spara och anslut från huvudgränssnittet.

Anteckningar#

  • Viscosity är inte gratis och därför kan du stöta på problem när du använder gratisversionen.

  • Vi överväger att använda Pritunl som ett fritt och öppet alternativ.