Tekniikka/OpenVPN

Kohteesta DigiWiki
< Tekniikka
Versio hetkellä 23. huhtikuuta 2020 kello 09.11 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset) (→‎Katso myös)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Siirry navigaatioon Siirry hakuun

OpenVPN

Sisällysluettelo

Asiakaspään asetukset

Asiakaspään asetustiedosto on varmennekorttikohtainen. Sitä ei voida muodostaa ellei käyttäjältä saada perustietosivulla esitettyä tulostetta Serialized id -kentän arvo joka on ns rautapolku varmenteeseen ja vaihtelee jopa samalla käyttäjällä kortin vaihtuessa. Arvo laitetaan asetustiedostoon pkcs11-id asetuksen arvoksi ja se pitää siteerata. Myös haksemistopolut pitää siteerata Windowsissa koska niiden takakeno-erottomista vedetään muuten herne nenään. 

log /var/log/openvpn
client 
dev tun
proto udp

remote 111.222.111.222 1194

resolv-retry infinite
nobind
persist-key
persist-tun

ca /srv/sys/pki/service.ca.cert.pem

pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
pkcs11-id 'VRK\x2DFINEID/PKCS\x2315/4600015067524093/HENKILOKORTTI\x20\x28perustunnusluku\x29/45'
pkcs11-pin-cache 300

auth-retry nointeract
management 127.0.0.1 8888
management-query-passwords

comp-lzo
verb 4


pkcs11-id sijasta voisi käyttää pkcs11-id-management asetusta joka kysyy käyttöliittymältä käytettävää varmennetta, mutta sitä ei ole vielä toteutettu käyttöliittymässä (2018-02-22). 

pkcs11-providers /usr/lib64/pkcs11/onepin-opensc-pkcs11.so
pkcs11-id-management

ja sen käyttö aiheuttaa virheen: "GUI> Error: Received NEED-STR message -- not implemented"

Virheilmoituksia

CKR_FUNCTION_FAILED

PKCS#11: Cannot add provider 6-'CKR_FUNCTION_FAILED

CKR_FUNCTION_FAILED virhe johtuu dynaamisen DLL/so -kirjaston latausvirheestä. Tämä voi johtua joko väärästä polusta tai eri binääri arkkitehtuurista, esimerkiksi OpenVPN ohjelmisto on 64-bittinen versio ja argumenttina annettu kirjasto 32-bittinen.

Virhe voi myös johtua laitteiston pääsyoikeuksista, Windows käyttöjärjestelmässä paikallisten laitteiden käyttöä ei oletuksena sallita ellei käyttäjä ole kirjautunut myös paikallisesti sisään eikä esimerkiksi etäistunnosta.

PKCS#11: Cannot deserialize id 19-'CKR_ATTRIBUTE_VALUE_INVALID'

Varmennetta osoittava URL deserialisointi epäonnistuu pkcs11-helper kirjastossa. Tämä tapahtuu mm virolaisella varmennekortilla jossa URL on liian pitkä ja kentän pituus on rajattu 16 merkkiin. Koko OpenVPN ei noudata RFC7512 speksiä jossa tämä on määritelty.

Katso myös

Noudettu kohteesta ”http://digisaatio.fi/mediawiki/index.php?title=Tekniikka/OpenVPN&oldid=6595